ฉันต้องการคำอธิบายว่าเกิดอะไรขึ้นเมื่อฉันเปลี่ยนไฟล์โซนของโดเมนที่เปิดใช้งาน DNSSEC

ฉันเพิ่งย้ายบริการหลัก DNS ที่ซ่อนอยู่ไปยังโฮสต์ใหม่ DNS38 บริการหลักดั้งเดิมยังคงทำงานอยู่ แต่ไม่ได้รับการสำรวจในขณะนี้

นายเก่าและทาสที่มีอำนาจทั้งหมดกำลังเรียกใช้ bind-9.11 โฮสต์หลักใหม่กำลังเรียกใช้ bind-9.16

DNSSEC ถูกเปิดใช้งานสำหรับโดเมนที่ฉันติดต่อด้วย เราใช้ การตรวจสอบ DNSsec อัตโนมัติ; และ auto-dnssec รักษา; การลงนามแบบอินไลน์ ใช่; สำหรับโซน.

คำถามของฉันเกี่ยวข้องกับการโหลดการเปลี่ยนแปลงที่ทำกับไฟล์มาสเตอร์โซนที่เซิร์ฟเวอร์สลาฟไม่สามารถมองเห็นได้

ใช้ rndc ฉันเห็นสิ่งนี้:

rndc โซนสถานะ harte-lyne.ca
ชื่อ: harte-lyne.ca
ประเภท: ป
ไฟล์: /usr/local/etc/namedb/signtest/harte-lyne.ca.hosts
อนุกรม: 2022012604
อนุกรมที่ลงนาม: 2022012199
โหนด: 1320
โหลดล่าสุด: อ. 25 ม.ค. 2022 17:38:23 GMT
ปลอดภัย: ใช่
การลงนามแบบอินไลน์: ใช่
การบำรุงรักษาคีย์: อัตโนมัติ
เหตุการณ์สำคัญครั้งต่อไป: พฤ. 27 ม.ค. 2022 17:00:50 GMT
โหนดลาออกถัดไป: _22._tcp.inet05.hamilton.harte-lyne.ca/NSEC
ลาออกครั้งต่อไป: พฤ. 27 ม.ค. 2565 19:51:36 GMT
ไดนามิก: ไม่
กำหนดค่าใหม่ได้ผ่าน modzone: ไม่

สิ่งที่ฉันสนใจคือในขณะที่ซีเรียลของไฟล์โซนคือ 2022012604 ซีเรียลของไฟล์โซนที่ลงนามคือ 2022012199 ซึ่งน้อยกว่าซีเรียลแรก ฉันเชื่อว่าโซนที่ลงนามมีลำดับซีเรียลแยกต่างหาก แต่ฉันไม่สามารถหาเอกสารประกอบเพื่อยืนยันหรือหักล้างสิ่งนี้ได้

ไม่ว่าในกรณีใด ฉันได้ทำการเปลี่ยนแปลงไฟล์โซนบนมาสเตอร์และโหลดใหม่โดยใช้ rndc รีโหลด harte-lyne.ca การเปลี่ยนแปลงนี้อยู่ในคิวอย่างถูกต้องและหมายเลขซีเรียลของไฟล์โซนที่อัปเดตจะแสดงใน สถานะโซน รายงาน. อย่างไรก็ตาม การเปลี่ยนแปลงโซนจะไม่ปรากฏเมื่อสอบถาม

# ค้นหา RR ที่เปลี่ยนแปลง
grep dns01.internal /usr/local/etc/namedb/signtest/harte-lyne.ca.hosts
dns01.internal.harte-lyne.ca. CNAME dns33.internal.harte-lyne.ca

# ตรวจสอบความถูกต้องของไฟล์โซน
name-checkzone -i local harte-lyne.ca /usr/local/etc/namedb/signtest/harte-lyne.ca.hosts # การทดสอบการกำหนดค่าโซนละเว้นข้อผิดพลาด samba
โซน harte-lyne.ca/IN: โหลดซีเรียล 2022012701
ตกลง

#โหลดโซนใหม่
rndc รีโหลด harte-lyne.ca
โหลดโซนเข้าคิว

#เช็คเลขพัสดุ 
rndc โซนสถานะ harte-lyne.ca.
ชื่อ: harte-lyne.ca.
ประเภท: ป
ไฟล์: /usr/local/etc/namedb/signed/harte-lyne.ca.hosts
อนุกรม: 2022012701
อนุกรมที่ลงนาม: 2022012199
โหนด: 1311
โหลดล่าสุด: อ. 25 ม.ค. 2022 17:38:23 GMT
ปลอดภัย: ใช่
การลงนามแบบอินไลน์: ใช่
การบำรุงรักษาคีย์: อัตโนมัติ
เหตุการณ์สำคัญครั้งต่อไป: พฤ. 27 ม.ค. 2022 17:00:50 GMT
โหนดลาออกถัดไป: _22._tcp.inet05.hamilton.harte-lyne.ca/NSEC
ลาออกครั้งต่อไป: พฤ. 27 ม.ค. 2565 19:51:36 GMT
ไดนามิก: ไม่
กำหนดค่าใหม่ได้ผ่าน modzone: ไม่

ที่นี่ฉันได้โหลดโซนใหม่ด้วยหมายเลขซีเรียลใหม่ (2022012701) ที่มี CNAME RR ที่ถูกต้องสำหรับ dns01.internal.harte-lyne.ca. อย่างไรก็ตาม ถ้าฉันทำการขุด/ดริลล์บริการหลัก ฉันไม่ได้รับการตอบสนอง:

เจาะ @dns38.harte-lyne.ca dns01.internal.harte-lyne.ca
;; ->>ส่วนหัว<<- opcode: QUERY, rcode: NXDOMAIN, id: 54421
;; ธง: qr aa rd ra ; คำถาม: 1, คำตอบ: 0, ผู้มีอำนาจ: 1, เพิ่มเติม: 0 
;; ส่วนคำถาม:
;; dns01.internal.harte-lyne.ca. ใน

;; ส่วนคำตอบ:

;; ส่วนผู้มีอำนาจ:
harte-lyne.ca. 7200 ใน SOA harte-lyne.ca. nameservice.harte-lyne.ca. 2022012199 10800 3600 1209600 7200

;; ส่วนเพิ่มเติม:

;; เวลาสืบค้น: 0 มิลลิวินาที
;; เซิร์ฟเวอร์: 216.185.71.38
;; เมื่อ: พฤ. 27 ม.ค. 11:51:57 น. 2565
;; ขนาดผงชูรส rcvd: 107

บันทึก SOA ที่ส่งคืนมีหมายเลขซีเรียล 2022012199 ซึ่งตรงกับหมายเลขที่ให้มา สถานะโซน หลังจากรีโหลดโดเมน แต่ไม่มีคำตอบสำหรับคำถาม

ฉันไม่พบความผิดปกติอื่นใดที่เกี่ยวข้องกับการเปลี่ยนแปลงนี้ ทาสกำลังถ่ายโอนจากมาสเตอร์โดยไม่มีข้อผิดพลาด แต่เจ้านายดูเหมือนจะไม่ต้องการยอมรับว่ามีการเปลี่ยนแปลงเกิดขึ้นจริง

สำหรับฉันแล้วดูเหมือนว่าสิ่งนี้เกี่ยวข้องกับการลงนาม RR ใหม่ เป็นเวลากว่าห้าปีแล้วที่ฉันตั้งค่านี้ และฉันไม่มีบันทึกเกี่ยวกับสถานการณ์เฉพาะนี้ ยิ่งไปกว่านั้น ฉันจำไม่ได้ว่าเคยเจอแบบนี้มาก่อน ฉันพลาดขั้นตอนอะไรไป

ปัญหาเกิดจากไฟล์เจอร์นัลไม่ซิงค์กับไฟล์โฮสต์ การลบไฟล์ .jnl แล้วโหลดโดเมนใหม่ช่วยแก้ปัญหาได้