Pred casem sem dle zdejsiho clanku (DNSSEC s BIND 9.9 snadno a rychle) rozchodil na jedne me domene dnssec. Vse fungovalo, a taky ty on-line nastroje ktere to kontroluji reportovali vse v poradku. Jenze pak se vyskytl nakej problem, a ted uz vubec nefunguje resolving pro tuhle domenu. Nekolikrat sem mezitim editoval zonovej soubor pro tu domenu (menil IP nebo fqdn, vcedne dn-serveru). Pak sem vzdycky dal:
rndc reload
rndc signing -list example.com
rndc signing -nsec3param 1 0 10 abcdef12 example.com
named-compilezone -f raw -j -o - example.com /var/cache/bind/db.example.com.signed
Nic vic. Klice v /etc/bind/keys sem nemenil, tudiz predpokladam ze neni zapotrebi generovat novej otisk (dnssec-dsfromkey...) a umistovat jej v nadrazene zone, nebo se mylim? Co by se mohlo pri tomhle postupu rozbit? Kdyz otestuju zonu pomoci dnssec-analyzer (verisignlabs), dostanu tohle:
+ Found 1 DS records for example.com in the com zone
+ DS=35525/SHA-256 has algorithm ECDSAP256SHA256
+ Found 1 RRSIGs over DS RRset
+ RRSIG=37269 and DNSKEY=37269 verifies the DS RRset
! Unknown host ns1.example.com
! Unknown host ns2.example.com
! Unknown host ns3.example.com
- Failed to get DNSKEY RR set for zone example.com
- No response from example.com nameservers
Pritom vsechny tri jmenne servery bezi. Jo, a kdyz sem menil IP jmennych serveru, zmenil sem to i u meho registratora (vcetne glue-zaznamu). Tak proc to zrazu nefunguje?