The*_*Guy 2 domain-name-system dns-hosting internal-dns dnssec windows-server-2012-r2
不久前,我部署了 DNSSEC,因为这样做可以减少需要在本地域的 DNS 上实施的安全配置检查的数量。这些是 Windows Server 2012R2 计算机
这似乎工作得很好,除了它导致我们必须打破异地备份安排。我们的 DNS 已设置为将单个主机名解析为我们无法控制的负载平衡设备,然后该设备处理传入数据 - 基本上只是我们将 DPM 备份文件放入其中的驱动器空间。这是我们域区域内的委派记录,主机名作为记录的名称,并包含负载均衡器的单个 NS 条目。
我们花了一些时间才弄清楚 DNSEC 是原因,但在与其他网络团队合作时,这一点似乎得到了证实,并且他们没有计划重新配置任何内容以使其在自己的终端上正常工作。
看来我并没有完全理解 DNSSEC 对此的影响。但是,有没有办法简单地取消 DNSSEC?我当然可以“取消签名”该区域,如 DNS 服务器上的 DNSSEC 菜单中所示。但网上并没有任何看起来写得很好或最近的指南。除了简单地取消对该区域的签名之外,还有更多的事情吗?
除了简单地取消对该区域的签名之外,还有更多的事情吗?
哦,是的,如果您不这样做,您的域名将会消失(从任何验证解析器中消失)。
首先要做的就是删除DS家长的记录,您需要通过注册商来完成此操作。
那么你需要“等待”。不要给出一个特定的值(因为人们认为 DNS 具有传播功能,但事实并非如此),因为它取决于父级和其他因素,所以您不应该着急。下周再做。但更好的是,监视它。查看父名称服务器何时停止发布DS记录,考虑其之前的 TTL 值以及您自己DNSKEY和RRSIG记录的 TTL 值。
所有 TTL 过期后,通常没有人会再尝试验证您的区域。
只有在那一刻,您才可以安全地停止取消签名,这意味着停止发布DNSKEY,RRSIG和NSEC/NSEC3记录。
PS:这不是你想读的东西,但删除 DNSSEC,特别是因为其他一些损坏的系统,确实不是一个好主意。相反,您应该投入时间来修复其他系统。或者进行不同的设计,以便该系统不需要依赖您启用 DNSSEC 的区域。
| 归档时间: |
|
| 查看次数: |
3389 次 |
| 最近记录: |