Я пытаюсь понять, могут ли ведомые устройства PowerDNS обновлять записи, даже если серийный номер в SOA для зоны не меняется. Я имею в виду следующий сценарий:
Есть один главный сервер, который выполняет живую подписку для DNSSEC. Предыстория заключается в том, что я хочу иметь возможность доставлять текущие подписанные записи, изменяя только базу данных. Когда серийный номер SOA в базе данных изменяется, ведомые устройства получают уведомление и автоматически получают новые (и подписанные) данные.
Однако, согласно документации, записи RRSIG имеют срок действия от одной до двух недель. Будут ли ведомые устройства автоматически получать новые записи RRSIG, даже если SOA не изменяется?
Да, если вы реплицируете записи через базу данных, и все остальные серверы также являются PowerDNS (см. Примечание о репликах DNSSEC и не-powerdns, таких как bind slave)
Предупреждение: если у вас есть зоны, подписанные DNSSEC, и подчиненные устройства без PowerDNS, проверьте настройки SOA-EDIT.
.
https://doc.powerdns.com/md/authoritative/modes-of-operation/
обратите внимание, так же работает привязка с бэкэндами ldap (мой опыт работы с FreeIPA и DNSSEC)