2011/3/10 Evan Hunt <<a href="mailto:each@isc.org">each@isc.org</a>><br>><br>> > Now DLZ supports dynamic updates and theoretically it is possible to make<br>> > such tricks:<br>> ><br>> > rndc freeze <a href="http://example.com">example.com</a><br>
> > put some new records in database<br>> > rndc thaw <a href="http://example.com">example.com</a><br>> > rndc sign <a href="http://example.com">example.com</a><br>> > rndc freeze <a href="http://example.com">example.com</a><br>
> ><br>> > That is zone isn't really dynamic, but it is dynamically loadable and<br>> > signed.  Will it work?<br>><br>> DLZ only supports dynamic updates if you're using a back-end that supports<br>
> them.  Right now the only combination that works is the DLZ "dlopen" driver<br>> running the SMB/CIFS module provided in Samba 4, bind_dlz.c.  As far as I<br>> know, that module doesn't understand DNSSEC RRtypes, so I doubt if that<br>
> trick would work today.<br>><br>> Even with a back-end module that can manage DNSSEC records, my guess is<br>> that it wouldn't answer queries correctly, because AFAIK DLZ doesn't have<br>> a mechanism for finding the closest previous name, and that's necessary<br>
> for returning a signed NXDOMAIN response.  (This problem would also apply<br>> if you used dnssec-signzone and loaded the signed data into the database<br>> directly.)<br>><br>> Incidentally, we've been expanding DLZ support further.  In 9.8.1, the<br>
> dlopen driver will be part of the default build on unix/linux platforms, no<br>> longer requiring a configure option, so you can use the Samba module (or<br>> other modules yet to be written) with a stock BIND 9 build.  In 9.9.0,<br>
> we'll be adding support for the dlopen driver on Windows as well.  I plan<br>> to convert the other DLZ drivers (mysql, postgresql, ldap, etc) to back-end<br>> modules for the dlopen driver at that time as well.  I'm not expecting to<br>
> make them support dynamic updates yet, and hadn't even given any thought to<br>> to the problem of supporting DNSSEC, but we can add those features to the<br>> roadmap as well if there's user demand.<br>
><br>> --<br>> Evan Hunt -- <a href="mailto:each@isc.org">each@isc.org</a><br>> Internet Systems Consortium, Inc.<br><br>Thank you, Evan<br><br>I'd like to add my vote for DNSSEC in DLZ to Christian's one :)<br>
<br><br>--<br>--<br>AP<br>