Почему я не могу иметь две записи для одного и того же имени с разными TTL?

Question

Почему я не могу иметь две записи для одного и того же имени с разными TTL?

Я только что обновил свои сертификаты TLS, но я еще не установил новые. Я решил добавить новые записи TLSA, понизить TTL старых, подождать некоторое время, а затем обменять сертификаты и удалить старые записи. Похоже, что BIND не нравится иметь несколько записей с одним и тем же именем и разными TTL: TTL set to prior TTL к его журналу и теперь обслуживает обе записи с TTL, который я дал первой. Я выписал зону быстрого тестирования и провел ее через named-compilezoneс теми же результатами:

$TTL 1w

$ORIGIN foo.example.

@                       SOA     bar     hostmaster      (
                                2016020600      1d      3h      1w      1d
                                )

@                       NS      a.ns.example.
@                       NS      b.ns.example.

bar             1w      A       203.0.113.5
bar             1d      A       198.51.100.143

/dev/stdin:11: TTL set to prior TTL (604800)
zone foo.example/IN: loaded serial 2016020600
foo.example.            604800 IN SOA   bar.foo.example. hostmaster.foo.example. 2016020600 86400 10800 604800 86400
foo.example.            604800 IN NS    a.ns.example.
foo.example.            604800 IN NS    b.ns.example.
bar.foo.example.        604800 IN A     198.51.100.143
bar.foo.example.        604800 IN A     203.0.113.5
OK

Я искал RFC 1035 и руководство BIND, но не смог найти ничего, говорящего о том, что записи с одинаковым именем должны иметь одинаковый TTL. Так что же дает?

0

dns bind

Источник

Blacklight Shining 05 фев '16 в 11:03

1 ответ

Решение

Другие вопросы по тегам dns bind

milli 07 фев '16 в 09:17 2016-02-07 09:17 · Accepted Answer · 2016-02-07 09:17

Прежде всего, я бы спросил, почему вы хотите это сделать, каков ваш вариант использования? Есть почти наверняка лучший способ,,,

Это применяется в течение длительного времени, поэтому вы получаете сообщение журнала, в котором указано, какой TTL нормализовал обе записи (604800 в данном случае).

Простая причина этого - и имеет полное значение, если вы об этом думаете - в том, что обе записи одновременно удаляются из кэша на разрешающем DNS-сервере где-то в Интернете, и обе они вновь извлекаются в следующий раз, когда В этом обширном месте спрашивают о записи. Это единственный контроль, который вы имеете как владелец домена над удаленными DNS-кешами. Если этого не произойдет, то ваш TTL с более короткой записью будет сначала очищен, оставляя TTL с более длинной записью в кеше сам по себе. Если это для веб-сервера, то вы просто потеряли избыточность в этом далеком месте, потому что этот локальный DNS-сервер будет возвращать только одну запись A до конца недели. В конечном итоге это приводит к нестабильному поведению, которое трудно устранить.