Am mutat recent serviciul nostru principal DNS ascuns la o nouă gazdă, DNS38. Serviciul principal original încă rulează, dar nu este interogat în prezent.
Bătrânul stăpân și toți sclavii autoritari rulează bind-9.11. Noua gazdă master rulează bind-9.16.
DNSSEC este activat pentru domeniul cu care am de-a face. Folosim dnssec-validation auto; și întreținere auto-dnssec; semnare inline da; pentru zona.
Întrebarea mea se referă la încărcarea modificărilor aduse fișierului zonei master care nu sunt vizibile pentru serverele slave.
Folosind rndc văd asta:
rndc zonestatus harte-lyne.ca
nume: harte-lyne.ca
tip: primar
fișiere: /usr/local/etc/namedb/signtest/harte-lyne.ca.hosts
seria: 2022012604
seria semnata: 2022012199
noduri: 1320
ultima încărcare: marți, 25 ianuarie 2022 17:38:23 GMT
sigur: da
semnare inline: da
întreținere cheie: automată
următorul eveniment cheie: joi, 27 ianuarie 2022 17:00:50 GMT
următorul nod de demisie: _22._tcp.inet05.hamilton.harte-lyne.ca/NSEC
următoarea oră de demisie: joi, 27 ianuarie 2022 19:51:36 GMT
dinamic: nu
reconfigurabil prin modzone: nu
Lucrul care mă interesează aici este că, în timp ce seria fișierului de zonă este 2022012604, seria fișierului de zonă semnat este 2022012199, care este mai mică decât primul serial. Cred că zonele semnate mențin o secvență de serie separată, dar nu am reușit să găsesc documentația care să confirme sau să infirme acest lucru.
În orice caz, am făcut modificări la fișierul de zonă de pe master și le-am reîncărcat folosind rndc reload harte-lyne.ca. Această modificare a fost pusă în așteptare în mod corespunzător și numărul de serie al fișierului de zonă actualizat apare în fișierul starea zonei raport. Cu toate acestea, modificările aduse zonei nu apar atunci când sunt interogate.
# găsiți un RR modificat
grep dns01.internal /usr/local/etc/namedb/signtest/harte-lyne.ca.hosts
dns01.intern.harte-lyne.ca. CNAME dns33.internal.harte-lyne.ca.
# verificați valabilitatea fișierului de zonă
named-checkzone -i local harte-lyne.ca /usr/local/etc/namedb/signtest/harte-lyne.ca.hosts # test de configurare a zonei ignora erorile de samba
zona harte-lyne.ca/IN: serial încărcat 2022012701
Bine
# reîncărcați zona
rndc reload harte-lyne.ca.
reîncărcarea zonei în coadă
# verificați numărul de serie
rndc zonestatus harte-lyne.ca.
nume: harte-lyne.ca.
tip: primar
fișiere: /usr/local/etc/namedb/signed/harte-lyne.ca.hosts
seria: 2022012701
seria semnata: 2022012199
noduri: 1311
ultima încărcare: marți, 25 ianuarie 2022 17:38:23 GMT
sigur: da
semnare inline: da
întreținere cheie: automată
următorul eveniment cheie: joi, 27 ianuarie 2022 17:00:50 GMT
următorul nod de demisie: _22._tcp.inet05.hamilton.harte-lyne.ca/NSEC
următoarea oră de demisie: joi, 27 ianuarie 2022 19:51:36 GMT
dinamic: nu
reconfigurabil prin modzone: nu
Aici am reîncărcat zona cu un nou număr de serie (2022012701) care conține un CNAME RR valid pentru dns01.intern.harte-lyne.ca. Cu toate acestea, dacă apoi sapă/forajez serviciul principal, nu primesc un răspuns:
drill @dns38.harte-lyne.ca dns01.internal.harte-lyne.ca
;; ->>HEADER<<- opcode: QUERY, rcode: NXDOMAIN, id: 54421
;; steaguri: qr aa rd ra ; ÎNTREBARE: 1, RĂSPUNS: 0, AUTORITATE: 1, SUPLIMENTARE: 0
;; SECȚIUNEA DE ÎNTREBĂRI:
;; dns01.intern.harte-lyne.ca. ÎN A
;; SECȚIUNEA RĂSPUNSURI:
;; SECȚIUNEA AUTORITATE:
harte-lyne.ca. 7200 IN SOA harte-lyne.ca. nameservice.harte-lyne.ca. 2022012199 10800 3600 1209600 7200
;; SECȚIUNE SUPLIMENTARĂ:
;; Timp de interogare: 0 ms
;; SERVER: 216.185.71.38
;; CÂND: joi 27 ian 11:51:57 2022
;; MSG SIZE rcvd: 107
Înregistrarea SOA returnată are numărul de serie 2022012199, care se potrivește cu cel furnizat de starea zonei după reîncărcarea domeniului. Dar nu există niciun răspuns la întrebare.
Nu am observat alte anomalii legate de această schimbare. Sclavii se transferă de la master fără eroare. Dar maestrul nu pare să dorească să recunoască faptul că a avut loc de fapt o schimbare.
Mi se pare că asta are legătură cu semnarea noului RR. Au trecut mai bine de cinci ani de când am înființat acest lucru și nu am note care să acopere această situație particulară. Mai mult, nu-mi amintesc să fi întâlnit asta înainte. Ce pas ratez?
