不久前,我部署了 DNSSEC,因为这样做我减少了需要在本地域的 DNS 上实施的安全配置检查的数量。这些是 Windows Server 2012R2 机器
这似乎工作得很好,除了它会导致我们必须打破的异地备份安排。我们的 DNS 已设置为将单个主机名解析为我们无法控制的负载平衡设备,然后该设备处理传入的数据 - 基本上只是我们将 DPM 备份文件扔到的驱动器空间。这是我们域区域内的委托记录,主机名作为记录的名称,并包含负载均衡器的单个 NS 条目。
花了一些时间才弄清楚 DNSEC 是原因,但在与其他网络团队合作时,这似乎得到了证实,他们没有计划重新配置任何东西以使其最终正常工作。
我似乎没有完全理解 DNSSEC 对此的影响。但是,有没有办法简单地取消 DNSSEC?我当然可以“取消签名”该区域,如 DNS 服务器上的 DNSSEC 菜单所示。但是实际上并没有任何关于这个在线的指导,看起来写得很好或最近。除了简单地取消对该区域的签名之外,还有更多内容吗?
哦,是的,如果您不这样做,您的域将消失(从任何验证解析器中)。
首先要做的是删除
DS父母的记录,您需要通过您的注册商来完成。然后你需要“等待”。不要给出一个具体的值(因为人们认为 DNS 有传播,但实际上没有),因为它取决于父级和其他因素,你不应该着急。一周后做。但更好的是,监视它。查看父名称服务器何时停止发布
DS记录,考虑它们之前的 TTL 值,以及您自己DNSKEY和RRSIG记录的 TTL 值。在所有 TTL 过期后,通常没有人会再尝试验证您的区域。
只有在那个时候你才可以安全地停止取消签名,这意味着停止发布
DNSKEY和RRSIG/NSEC记录NSEC3。PS:这不是您想阅读的内容,但是删除 DNSSEC,尤其是由于其他一些损坏的系统,确实不是一个好主意。相反,您应该花时间修复其他系统。或者设计不同的东西,这样这个系统就不需要依赖你启用 DNSSEC 的区域。