я использую новую функцию BIND 9.16 dnssec-policy
в своих зонах, следуя руководство для включения DNSSEC. Все работало как шарм. Теперь мне нужно добавить еще одну запись в одну из моих зон, но после редактирования файла зоны в /var/lib/bind/db.mydomain.com и использования:
rndc reload
systemctl restart bind9
мой файл.key Kmydomain.com.xxxx.key не обновляется и в логах вижу сообщения со старым серийником для зоны (signed)и новым серийником для зоны (unsigned).
Oct 8 13:07:04 bind named[622]: zone mydomain.com/IN (unsigned): loaded serial 2021100801
...
Oct 8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): loaded serial 2021100607 (DNSSEC signed)
...
Oct 8 13:07:04 bind named[622]: all zones loaded
Oct 8 13:07:04 bind named[622]: running
Oct 8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): receive_secure_serial: unchanged
Oct 8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): sending notifies (serial 2021100607)
Oct 8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): reconfiguring zone keys
...
Oct 8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): next key event: 08-Oct-2021 17:59:00.636
Читая документы, я не могу найти ссылки на ручной шаг, чтобы попросить BIND отказаться от моей зоны, и я хотел бы знать, как действовать дальше.
Моя зона для домена в /etc/bind/named.conf.local:
zone "mydomain.com" in {
type master;
file "/var/lib/bind/db.mydomain.com";
allow-transfer { 123.123.123.123; };
also-notify { 123.123.123.123; };
dnssec-policy default;
};
В итоге я использовал «ядерный» вариант удаления файлов K*для mydomain.com из /var/cache/bind/
rm -f /var/cache/bind/Kmydomain.com.*
После чего перезапустил BIND
rndc reload
systemctl restart bind9
Мне пришлось сгенерировать новую DS записать и обновить его на моем родительском DNS-сервере, но я не мог больше ждать.
Если вы знаете, как правильно попросить BIND сгенерировать новые файлы (key/private/state)при редактировании файлов зон, я действительно хотел бы знать.