Gần đây tôi đã chuyển dịch vụ chủ DNS ẩn của chúng tôi sang một máy chủ mới, DNS38. Dịch vụ chính ban đầu vẫn đang chạy nhưng không được thăm dò vào thời điểm hiện tại.
Chủ cũ và tất cả các nô lệ có thẩm quyền đang chạy bind-9.11. Máy chủ chính mới đang chạy bind-9.16.
DNSSEC được bật cho miền tôi đang xử lý. Chúng tôi sử dụng tự động xác thực dnssec; và tự động duy trì dnssec; ký nội tuyến có; cho khu.
Câu hỏi của tôi liên quan đến việc tải các thay đổi được thực hiện đối với tệp vùng chính không hiển thị đối với các máy chủ phụ.
Sử dụng rndc tôi thấy điều này:
rndc zonestatus harte-lyne.ca
tên: harte-lyne.ca
loại: chính
các tệp: /usr/local/etc/namedb/signtest/harte-lyne.ca.hosts
nối tiếp: 2022012604
sê-ri đã ký: 2022012199
nút: 1320
tải lần cuối: Thứ ba, ngày 25 tháng 1 năm 2022 17:38:23 GMT
an toàn: có
ký nội tuyến: có
bảo trì chính: tự động
sự kiện quan trọng tiếp theo: Thứ 5, ngày 27 tháng 1 năm 2022 17:00:50 GMT
nút từ chức tiếp theo: _22._tcp.inet05.hamilton.harte-lyne.ca/NSEC
thời gian từ chức tiếp theo: Thứ năm, ngày 27 tháng 1 năm 2022 19:51:36 GMT
năng động: không
có thể cấu hình lại qua modzone: không
Điều khiến tôi quan tâm ở đây là trong khi sê-ri của tệp vùng là 2022012604 thì sê-ri của tệp vùng đã ký là 2022012199, nhỏ hơn sê-ri đầu tiên. Tôi tin rằng các vùng đã ký duy trì một chuỗi nối tiếp riêng biệt nhưng tôi không thể tìm thấy tài liệu để xác nhận hoặc bác bỏ điều này.
Trong mọi trường hợp, tôi đã thực hiện các thay đổi đối với tệp vùng trên bản gốc và tải lại chúng bằng cách sử dụng rndc tải lại harte-lyne.ca. Thay đổi này đã được xếp hàng đợi hợp lệ và số sê-ri của tệp vùng được cập nhật hiển thị trong trạng thái vùng bài báo cáo. Tuy nhiên, những thay đổi đối với vùng không xuất hiện khi được truy vấn.
# tìm một RR đã thay đổi
grep dns01.internal /usr/local/etc/namedb/signtest/harte-lyne.ca.hosts
dns01.internal.harte-lyne.ca. CNAME dns33.internal.harte-lyne.ca.
# kiểm tra tính hợp lệ của tệp vùng
tên-checkzone -i local harte-lyne.ca /usr/local/etc/namedb/signtest/harte-lyne.ca.hosts # kiểm tra cấu hình vùng bỏ qua lỗi samba
vùng harte-lyne.ca/IN: đã tải nối tiếp 2022012701
VÂNG
# tải lại vùng
rndc tải lại harte-lyne.ca.
tải lại khu vực xếp hàng đợi
# kiểm tra số sê-ri
rndc zonestatus harte-lyne.ca.
tên: harte-lyne.ca.
loại: chính
các tệp: /usr/local/etc/namedb/signed/harte-lyne.ca.hosts
nối tiếp: 2022012701
sê-ri đã ký: 2022012199
nút: 1311
tải lần cuối: Thứ ba, ngày 25 tháng 1 năm 2022 17:38:23 GMT
an toàn: có
ký nội tuyến: có
bảo trì chính: tự động
sự kiện quan trọng tiếp theo: Thứ 5, ngày 27 tháng 1 năm 2022 17:00:50 GMT
nút từ chức tiếp theo: _22._tcp.inet05.hamilton.harte-lyne.ca/NSEC
thời gian từ chức tiếp theo: Thứ năm, ngày 27 tháng 1 năm 2022 19:51:36 GMT
năng động: không
có thể cấu hình lại qua modzone: không
Ở đây tôi đã tải lại vùng có số sê-ri mới (2022012701) chứa Bản ghi tài nguyên CNAME hợp lệ cho dns01.internal.harte-lyne.ca. Tuy nhiên, nếu sau đó tôi đào/khoan dịch vụ chính thì tôi không nhận được phản hồi:
khoan @dns38.harte-lyne.ca dns01.internal.harte-lyne.ca
;; ->>HEADER<<- opcode: QUERY, rcode: NXDOMAIN, id: 54421
;; cờ: qr aa rd ra ; CÂU HỎI: 1, TRẢ LỜI: 0, AUTHORITY: 1, BỔ SUNG: 0
;; PHẦN CÂU HỎI:
;; dns01.internal.harte-lyne.ca. TRONG MỘT
;; PHẦN TRẢ LỜI:
;; PHẦN THẨM QUYỀN:
harte-lyne.ca. 7200 TRONG SOA harte-lyne.ca. dịch vụ tên.harte-lyne.ca. 2022012199 10800 3600 1209600 7200
;; PHẦN BỔ SUNG:
;; Thời gian truy vấn: 0 mili giây
;; MÁY CHỦ: 216.185.71.38
;; THỜI GIAN: Thứ Năm ngày 27 tháng 1 11:51:57 2022
;; KÍCH THƯỚC MSG rcvd: 107
Bản ghi SOA được trả về có số sê-ri 2022012199, khớp với số được cung cấp bởi trạng thái vùng sau khi tải lại tên miền. Nhưng không có câu trả lời cho truy vấn.
Tôi đã ghi nhận không có sự bất thường nào khác liên quan đến sự thay đổi này. Các nô lệ đang chuyển từ chủ mà không có lỗi. Nhưng chủ dường như không muốn thừa nhận rằng một sự thay đổi đã thực sự xảy ra.
Đối với tôi, dường như điều này có liên quan đến việc ký RR mới. Đã hơn năm năm kể từ khi tôi thiết lập điều này và tôi không có ghi chú nào về tình huống cụ thể này. Hơn nữa, tôi không thể nhớ đã gặp phải điều này trước đây. Tôi đang thiếu bước nào?
