บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

วิธีบังคับให้ BIND 9.16 ออกจากโซนของฉันหลังจากแก้ไขไฟล์โซน

ธง se
André Casteliano

ฉันใช้ BIND 9.16 ใหม่ นโยบาย DNSsec คุณสมบัติในโซนของฉันตาม แนะนำ เพื่อเปิดใช้งาน DNSSEC ทุกอย่างทำงานได้อย่างมีเสน่ห์ ตอนนี้ฉันต้องเพิ่มบันทึกอื่นในโซนใดโซนหนึ่งของฉัน แต่หลังจากแก้ไขไฟล์โซนบน /var/lib/bind/db.mydomain.com และใช้:

rndc โหลดใหม่
systemctl รีสตาร์ท bind9

ไฟล์ .key Kmydomain.com.xxxx.key ของฉันไม่ได้รับการอัปเดต และในบันทึก ฉันเห็นข้อความที่มีซีเรียลเก่าสำหรับโซน (เซ็นชื่อ) และซีเรียลใหม่สำหรับโซน (ไม่ได้เซ็นชื่อ)

8 ต.ค. 13:07:04 น. ผูกชื่อ [622]: โซน mydomain.com/IN (ไม่ได้ลงนาม): โหลดซีเรียล 2021100801
...
8 ต.ค. 13:07:04 น. ผูกชื่อ [622]: โซน mydomain.com/IN (ลงชื่อ): โหลดซีเรียล 2021100607 (ลงนาม DNSSEC)
...
8 ต.ค. 13:07:04 น. ผูกชื่อ [622]: โหลดโซนทั้งหมดแล้ว
8 ต.ค. 13:07:04 น. ผูกชื่อ [622]: กำลังทำงานอยู่
8 ต.ค. 13:07:04 น. ผูกชื่อ [622]: โซน mydomain.com/IN (ลงชื่อ): รับ_secure_serial: ไม่เปลี่ยนแปลง
8 ต.ค. 13:07:04 น. ผูกชื่อ [622]: โซน mydomain.com/IN (ลงชื่อ): ส่งการแจ้งเตือน (ซีเรียล 2021100607)
8 ต.ค. 13:07:04 น. ผูกชื่อ [622]: โซน mydomain.com/IN (ลงชื่อ): กำหนดค่าคีย์โซนใหม่
...
8 ต.ค. 13:07:04 น. ผูกชื่อ [622]: โซน mydomain.com/IN (ลงชื่อ): เหตุการณ์สำคัญถัดไป: 08 ต.ค. 2564 17:59:00.636

เมื่ออ่านเอกสาร ฉันไม่พบการอ้างอิงถึงขั้นตอนด้วยตนเองเพื่อขอให้ BIND ลาออกจากโซนของฉัน และฉันต้องการทราบวิธีดำเนินการต่อ

โซนของฉันสำหรับโดเมนบน /etc/bind/named.conf.local คือ

โซน "mydomain.com" ใน {
    พิมพ์ต้นแบบ;
    ไฟล์ "/var/lib/bind/db.mydomain.com";
    อนุญาตให้โอน { 123.123.123.123; };
    แจ้งด้วย { 123.123.123.123; };
    ค่าเริ่มต้นของนโยบาย DNSsec;
};
334
0 + 0
djdomi avatar
za flag
djdomi
[คุณอ่านคู่มือแล้วหรือยัง](https://bind9.readthedocs.io/en/latest/advanced.html)
0
ตอบกลับ
Patrick Mevzek avatar
cn flag
Patrick Mevzek
ไม่ชัดเจนว่าทำไมคุณต้อง "ลาออก" คุณบอกว่าคุณเพิ่มบันทึก (อันใด) แล้วคุณบอกว่าไฟล์คีย์ของคุณไม่ได้รับการอัพเดต หมายความว่าอย่างไร คุณเห็นสิ่งนี้ในเอกสารหรือไม่: "ตามค่าเริ่มต้น ไดเร็กทอรีคีย์จะถูกตรวจสอบสำหรับการเปลี่ยนแปลงทุกๆ 60 นาที ช่วงเวลานี้สามารถปรับได้ด้วย dnssec-loadkeys-interval ซึ่งสูงสุดไม่เกิน 24 ชั่วโมงคำสั่ง rndc loadkeys บังคับให้ตั้งชื่อให้ตรวจสอบการอัปเดตคีย์ทันที" `rndc sign` สามารถให้ข้อมูลเชิงลึกต่างๆ แก่คุณเกี่ยวกับสิ่งที่เกิดขึ้นในปัจจุบันภายในการผูกเมื่อรักษาสถานะ DNSSEC โดยอัตโนมัติ (จะตัดสินใจเองว่าจะเซ็นอะไรและเมื่อใด)
0
ตอบกลับ
se flag
André Casteliano
ขออภัยหากฉันไม่ชัดเจน ภาษาอังกฤษไม่ใช่ภาษาหลักของฉัน ฉันรอนานกว่า 4 ชั่วโมงก่อนที่จะส่งคำถามเดิม ดังนั้นฉันจึงไม่คิดว่ามันเป็นเพียงเรื่องของการรอ BIND ฉันใช้เส้นทางเริ่มต้น ( /etc/bind, /var/lib/bind, /var/cache/bind ) และทุกอย่างทำงานได้ดี ฉันไม่สามารถให้ BIND "ดู" การเปลี่ยนแปลงที่ฉันทำกับไฟล์โซนได้ และสร้างโซนที่ลงนามใหม่
0
ตอบกลับ
Score:0
avatar Server
ธง se
André Casteliano

ในที่สุดฉันก็ใช้ตัวเลือก "นิวเคลียร์" ในการลบไฟล์ K* สำหรับ mydomain.com จาก /var/cache/bind/

rm -f /var/cache/bind/Kmydomain.com.*

ตามด้วยการรีสตาร์ท BIND

rndc โหลดใหม่
systemctl รีสตาร์ท bind9

ฉันต้องสร้างระเบียน DS ใหม่และอัปเดตบนเซิร์ฟเวอร์ DNS หลักของฉัน แต่ฉันไม่สามารถรอได้อีกต่อไป

หากคุณรู้วิธีขอให้ BIND สร้างไฟล์ (คีย์/ส่วนตัว/สถานะ) ใหม่อย่างถูกต้องเมื่อแก้ไขไฟล์โซน ฉันอยากทราบจริงๆ

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา