Недавно я переместил нашу скрытую мастер-службу DNS на новый хост, DNS38. Исходная основная служба все еще работает, но в настоящее время не опрашивается.
Старый мастер и все авторитетные подчиненные устройства работают под управлением bind-9.11. На новом главном хосте работает bind-9.16.
DNSSEC включен для домена, с которым я имею дело. Мы используем автоматическая проверка dnssec; и поддержка авто-dnssec; встроенная подпись да; для зоны.
Мой вопрос связан с загрузкой изменений, внесенных в файл главной зоны, который не виден подчиненным серверам.
Используя rndc, я вижу это:
rndc zonestatus harte-lyne.ca
имя: harte-lyne.ca
тип: первичный
файлы: /usr/local/etc/namedb/signtest/harte-lyne.ca.hosts
серийный номер: 2022012604
подписанный серийный номер: 2022012199
узлов: 1320
последняя загрузка: вторник, 25 января 2022 г., 17:38:23 GMT
безопасный: да
встроенная подпись: да
обслуживание ключей: автоматическое
Следующее ключевое событие: Чт, 27 января 2022 г., 17:00:50 GMT
следующий узел в отставке: _22._tcp.inet05.hamilton.harte-lyne.ca/NSEC
следующее время ухода в отставку: четверг, 27 января 2022 г., 19:51:36 GMT
динамический: нет
реконфигурируется через modzone: нет
Меня здесь интересует то, что хотя серийный номер файла зоны 2022012604, серийный номер подписанного файла зоны — 2022012199, что меньше первого серийного номера. Я считаю, что подписанные зоны поддерживают отдельную последовательную последовательность, но мне не удалось найти документацию, подтверждающую или опровергающую это.
В любом случае, я внес изменения в файл зоны на мастере и перезагрузил их с помощью rndc перезагрузить harte-lyne.ca. Это изменение было должным образом поставлено в очередь, и серийный номер обновленного файла зоны отображается в статус зоны отчет. Однако изменения зоны не отображаются при запросе.
# найти измененный RR
grep dns01.internal /usr/local/etc/namedb/signtest/harte-lyne.ca.hosts
dns01.internal.harte-lyne.ca. CNAME dns33.internal.harte-lyne.ca.
# проверяем правильность файла зоны
named-checkzone -i local harte-lyne.ca /usr/local/etc/namedb/signtest/harte-lyne.ca.hosts # тест конфигурации зоны игнорирует ошибки samba
зона harte-lyne.ca/IN: загружен серийный номер 2022012701
ХОРОШО
# перезагрузить зону
rndc перезагрузить harte-lyne.ca.
перезагрузка зоны поставлена в очередь
# проверить серийный номер
rndc zonestatus harte-lyne.ca.
Название: harte-lyne.ca.
тип: первичный
файлы: /usr/local/etc/namedb/signed/harte-lyne.ca.hosts
серийный номер: 2022012701
подписанный серийный номер: 2022012199
узлов: 1311
последняя загрузка: вторник, 25 января 2022 г., 17:38:23 GMT
безопасный: да
встроенная подпись: да
обслуживание ключей: автоматическое
Следующее ключевое событие: Чт, 27 января 2022 г., 17:00:50 GMT
следующий узел в отставке: _22._tcp.inet05.hamilton.harte-lyne.ca/NSEC
следующее время ухода в отставку: четверг, 27 января 2022 г., 19:51:36 GMT
динамический: нет
реконфигурируется через modzone: нет
Здесь я перезагрузил зону с новым серийным номером (2022012701), содержащим действительный CNAME RR для dns01.internal.harte-lyne.ca. Однако, если я затем копаю/просверливаю мастер-сервис, я не получаю ответа:
дрель @dns38.harte-lyne.ca dns01.internal.harte-lyne.ca
;; ->>HEADER<<- код операции: QUERY, rcode: NXDOMAIN, id: 54421
;; флаги: qr aa rd ra ; ЗАПРОС: 1, ОТВЕТ: 0, АВТОРИЗАЦИЯ: 1, ДОПОЛНИТЕЛЬНО: 0
;; РАЗДЕЛ ВОПРОСОВ:
;; dns01.internal.harte-lyne.ca. В
;; РАЗДЕЛ ОТВЕТОВ:
;; ОТДЕЛ ПОЛНОМОЧИЙ:
harte-lyne.ca. 7200 IN SOA harte-lyne.ca. nameservice.harte-lyne.ca. 2022012199 10800 3600 1209600 7200
;; ДОПОЛНИТЕЛЬНЫЙ РАЗДЕЛ:
;; Время запроса: 0 мс
;; СЕРВЕР: 216.185.71.38
;; КОГДА: Чт, 27 января, 11:51:57 2022 г.
;; РАЗМЕР MSG rcvd: 107
Возвращенная запись SOA имеет серийный номер 2022012199, который совпадает с номером, предоставленным статус зоны после перезагрузки домена. Но ответа на запрос нет.
Я не заметил никаких других аномалий, связанных с этим изменением. Ведомые передаются от мастера без ошибок. Но мастер, похоже, не хочет признавать, что изменение действительно произошло.
Мне кажется, что это как-то связано с подписанием нового РР. Прошло более пяти лет с тех пор, как я это создал, и у меня нет записей, описывающих эту конкретную ситуацию. Более того, я не могу припомнить, чтобы сталкивался с этим раньше. Какой шаг я пропустил?
