我試圖了解即使該區域的 SOA 中的序號沒有更改,PowerDNS 從站是否可以更新記錄。我想到的場景如下:
有一台主伺服器為 DNSSEC 進行即時簽署。背景是我希望能夠僅透過更改資料庫來提供當前簽名的記錄。當資料庫中的 SOA 序列發生變更時,從屬裝置會收到通知並自動擷取新的(和簽署的)資料。
然而,根據文件,RRSIG 記錄的有效期為一到兩週。即使 SOA 未更改,從屬設備也會自動擷取新的 RRSIG 記錄嗎?
答案1
是的,如果您透過資料庫複製記錄,並且所有其他伺服器也是 PowerDNS(請參閱有關 DNSSEC 和非 powerdns 副本的註釋,例如綁定從屬伺服器)
警告:如果您有 DNSSEC 簽章區域和非 PowerDNS 從站,請檢查您的 SOA-EDIT 設定
。
https://doc.powerdns.com/md/authoritative/modes-of-operation/
請注意,這也是與 ldap 後端綁定的工作方式(我使用 FreeIPA 和 DNSSEC 的經驗)