刪除 DNSSEC - 可以嗎?我該怎麼做?
不久前,我部署了 DNSSEC,因為這樣做我減少了需要在本地域的 DNS 上實施的安全配置檢查的數量。這些是 Windows Server 2012R2 機器
這似乎工作得很好,除了它會導致我們必須打破的異地備份安排。我們的 DNS 已設置為將單個主機名解析為我們無法控制的負載平衡設備,然後該設備處理傳入的數據 - 基本上只是我們將 DPM 備份文件扔到的驅動器空間。這是我們域區域內的委託記錄,主機名作為記錄的名稱,並包含負載均衡器的單個 NS 條目。
花了一些時間才弄清楚 DNSEC 是原因,但在與其他網路團隊合作時,這似乎得到了證實,他們沒有計劃重新配置任何東西以使其最終正常工作。
我似乎沒有完全理解 DNSSEC 對此的影響。但是,有沒有辦法簡單地取消 DNSSEC?我當然可以“取消簽名”該區域,如 DNS 伺服器上的 DNSSEC 菜單所示。但是實際上並沒有任何關於這個線上的指導,看起來寫得很好或最近。除了簡單地取消對該區域的簽名之外,還有更多內容嗎?
除了簡單地取消對該區域的簽名之外,還有更多內容嗎?
哦,是的,如果您不這樣做,您的域將消失(從任何驗證解析器中)。
首先要做的是刪除
DS
父母的記錄,您需要通過您的註冊商來完成。然後你需要“等待”。不要給出一個具體的值(因為人們認為 DNS 有傳播,但實際上沒有),因為它取決於父級和其他因素,你不應該著急。一周後做。但更好的是,監視它。查看父名稱伺服器何時停止發布
DS
記錄,考慮它們之前的 TTL 值,以及您自己DNSKEY
和RRSIG
記錄的 TTL 值。在所有 TTL 過期後,通常沒有人會再嘗試驗證您的區域。
只有在那個時候你才可以安全地停止取消簽名,這意味著停止發布
DNSKEY
和RRSIG
/NSEC
記錄NSEC3
。PS:這不是您想閱讀的內容,但是刪除 DNSSEC,尤其是由於其他一些損壞的系統,確實不是一個好主意。相反,您應該花時間修復其他系統。或者設計不同的東西,這樣這個系統就不需要依賴你啟用 DNSSEC 的區域。