Estou tentando entender se os escravos PowerDNS podem atualizar registros mesmo que o número de série no SOA da zona não mude. O cenário que tenho em mente é o seguinte:
Existe um servidor mestre que faz assinatura ao vivo para DNSSEC. O histórico é que desejo poder entregar registros assinados atuais apenas alterando o banco de dados. Quando o serial SOA no banco de dados muda, os escravos são notificados e recuperam os dados novos (e assinados) automaticamente.
Porém, de acordo com a documentação os registros RRSIG têm validade entre uma ou duas semanas. Os escravos pegariam novos registros RRSIG automaticamente mesmo se o SOA não fosse alterado?
Responder1
Sim, se você replicar os registros via banco de dados e todos os outros servidores também forem PowerDNS (ver nota sobre DNSSEC e réplicas não powerdns, como bind slaves)
Aviso: Se você tiver zonas assinadas por DNSSEC e escravos não PowerDNS, verifique suas configurações SOA-EDIT
.
https://doc.powerdns.com/md/authoritative/modes-of-operation/
observe que também é assim que funciona o vínculo com back-ends ldap (minha experiência com FreeIPA e DNSSEC)