インライン署名を行うbind9でマスターゾーンをリロードする適切な方法
いくつかの署名されたゾーンに適切にサービスを提供するマスターBIND9(v9.10.3)があります(dnsvizなどで確認済み)
静的ゾーンファイルをリロードして再署名する適切な方法をドキュメントで見つけることができませんでした。 (私のゾーンは動的ではありません)。更新されたゾーンを確実に提供するには、バインドを停止し、.signed、.signed.jnl、および.jbkファイルを削除し、ゾーンマスターファイルを更新/置換してから再起動する必要がありました。良くありませんが、私が試した他の何もうまくいきませんでした。
ゾーンマスターを更新してから(どれですか?)rndcコマンドを実行して、ゾーンをリロードして再署名できますか?そして、その操作の結果に遅れはありますか?
役立つと思ったオンラインDNSSECBIND管理者はいますか?私はかなりの数をブックマークしていますが、この基本的な操作に対処しているようには見えませんでした。そうでなければ、私はそれを見逃しました。ありがとう!
符号なしゾーンファイルを更新するときは、必ずシリアル番号を増やしてください。設定に応じて(つまり、serial-update-methodを使用している場合)、BINDはその設定に新しいシリアルを生成します。 NSEC3RRを追加する場合。したがって、シリアルを1つ増やすだけでは不十分な場合がありますが、Digを使用して簡単に調べることができます。
Dig @localhost example.com SOA
ゾーンファイルを更新した後、リロードを発行します。
rndc reload
編集:
動的ゾーンの場合は、
rndc freeze
署名されていないゾーンファイルを編集する前に、その後も動的更新を受け入れ続けます。
rndc thaw
ISC BIND9管理者リファレンスマニュアル には、DNSSEC、rndc、およびauto-dnssec(探している特定の機能)に関する広範なドキュメントがあります。