Estoy tratando de entender si los esclavos PowerDNS pueden actualizar registros incluso si el número de serie en SOA para la zona no cambia. El escenario que tengo en mente es el siguiente:
Hay un servidor maestro que firma en vivo para DNSSEC. El trasfondo es que quiero poder entregar registros firmados actuales simplemente cambiando la base de datos. Cuando cambia el número de serie SOA en la base de datos, los esclavos reciben una notificación y recuperan los datos nuevos (y firmados) automáticamente.
Sin embargo, según la documentación los registros RRSIG tienen una validez de entre una o dos semanas. ¿Los esclavos recogerían automáticamente nuevos registros RRSIG incluso si no se cambia la SOA?
Respuesta1
Sí, si replica los registros a través de la base de datos y todos los demás servidores también son PowerDNS (consulte la nota sobre DNSSEC y réplicas que no son Powerdns, como los esclavos de enlace)
Advertencia: si tiene zonas firmadas por DNSSEC y esclavos que no son PowerDNS, verifique la configuración de SOA-EDIT
.
https://doc.powerdns.com/md/authoritative/modes-of-operation/
tenga en cuenta que así es también como funciona la vinculación con backends ldap (mi experiencia con FreeIPA y DNSSEC)