Я пытаюсь понять, могут ли слейвы PowerDNS обновлять записи, даже если серийный номер в SOA для зоны не меняется. Сценарий, который я имею в виду, следующий:
Есть один главный сервер, который делает live signing для DNSSEC. Предыстория в том, что я хочу иметь возможность доставлять текущие подписанные записи, просто изменяя базу данных. Когда изменяется серийный номер SOA в базе данных, подчиненные серверы получают уведомление и автоматически извлекают новые (и подписанные) данные.
Однако, согласно документации, записи RRSIG имеют срок действия от одной до двух недель. Будут ли подчиненные узлы автоматически подбирать новые записи RRSIG, даже если SOA не изменен?
решение1
Да, если вы реплицируете записи через базу данных, а все остальные серверы также являются PowerDNS (см. примечание о DNSSEC и репликах, отличных от PowerDNS, таких как подчиненные серверы привязки)
Предупреждение: если у вас есть зоны, подписанные DNSSEC, и не-PowerDNS-ведомые, проверьте настройки SOA-EDIT.
.
https://doc.powerdns.com/md/authoritative/modes-of-operation/
обратите внимание, что именно так работает привязка к бэкэндам LDAP (мой опыт работы с FreeIPA и DNSSEC)