Удаление DNSSEC - Можно ли это сделать и как я могу?
Некоторое время назад я развернул DNSSEC, потому что при этом я уменьшил количество проверок конфигурации безопасности, которые мне нужно было реализовать в DNS моего локального домена. Это машины с Windows Server 2012R2
Похоже, это сработало нормально, за исключением того, что нам пришлось нарушить механизм резервного копирования за пределами предприятия. Наш DNS был настроен для преобразования одного имени хоста в устройство балансировки нагрузки, которое мы не контролируем, которое затем обрабатывает входящие данные - по сути, это просто дисковое пространство, на которое мы помещаем наши файлы резервных копий DPM. Это была запись делегирования внутри зоны нашего домена, с именем хоста в качестве имени записи и содержащей одну запись NS для балансировщика нагрузки.
Потребовалось некоторое время, чтобы выяснить, что DNSEC была причиной, но при работе с другой сетевой командой это кажется подтвержденным, и у них нет планов перенастраивать что-либо, чтобы заставить это работать на их стороне.
Похоже, что я не полностью понимал последствия использования DNSSEC в этом. Однако есть ли способ просто отменить DNSSEC? Я определенно могу «Отменить подпись» зоны, как это видно в меню DNSSEC на DNS-серверах. Но на самом деле в этом Интернете нет никаких руководств, которые были бы хорошо написаны или недавно. Есть ли что-то большее, чем просто отмена подписи зоны?
Это что-то большее, чем просто Отмена подписи зоны?
О да, и если вы этого не сделаете, ваш домен исчезнет (из любого валидирующего распознавателя).
Первое, что нужно сделать, это удалить записи DS на родительском объекте, что вам нужно будет сделать через своего регистратора.
Тогда вам нужно «подождать». Вместо того, чтобы давать конкретное значение (как это делают люди, считающие, что у DNS есть распространение, а на самом деле это не так), так как оно зависит от родителя и других факторов, вам не следует торопиться. Сделайте это через неделю. Но лучше, следите за этим. Посмотрите, когда родительский сервер имён перестанет публиковать записи DS, примите во внимание их предыдущие значения TTL, а также значения TTL на ваших собственных DNSKEY и RRSIG. записи.
После истечения срока действия всех TTL обычно никто больше не будет пытаться подтвердить вашу зону.
Только в этот момент вы можете безопасно перестать его отменять, что означает прекращение публикации DNSKEY, RRSIG и NSEC/NSEC3 записей.
PS: это не то, что вам захочется читать, но удаление DNSSEC, особенно из-за какой-то другой сломанной системы, на самом деле не очень хорошая идея. Вместо этого вы должны потратить время на исправление этой другой системы. Или спроектируйте вещи по-другому, чтобы этой системе не нужно было полагаться на вашу зону с поддержкой DNSSEC.