如何在编辑区域文件后强制绑定9.16退出我的区域

Question

我在我的区域中使用BIND 9.16新的dnssec-policy特性，在指南之后启用DNSSEC。一切都很有魅力。现在，我需要向我的一个区域添加另一个记录，但是在编辑/var/lib/bind/db.mydomain.com上的区域文件之后，使用：

rndc reload
systemctl restart bind9

我的.key文件Kmydomain.com.xxxx.key没有被更新，在日志中，我看到带旧序列的消息(签名)和区域的新串行消息(无签名)。

Oct  8 13:07:04 bind named[622]: zone mydomain.com/IN (unsigned): loaded serial 2021100801
...
Oct  8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): loaded serial 2021100607 (DNSSEC signed)
...
Oct  8 13:07:04 bind named[622]: all zones loaded
Oct  8 13:07:04 bind named[622]: running
Oct  8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): receive_secure_serial: unchanged
Oct  8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): sending notifies (serial 2021100607)
Oct  8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): reconfiguring zone keys
...
Oct  8 13:07:04 bind named[622]: zone mydomain.com/IN (signed): next key event: 08-Oct-2021 17:59:00.636

在阅读文档时，我找不到关于要求BIND辞职的手动步骤的引用，我想知道如何继续下去。

我在/etc/bind/named.conf上域的区域是

zone "mydomain.com" in {
    type master;
    file "/var/lib/bind/db.mydomain.com";
    allow-transfer { 123.123.123.123; };
    also-notify { 123.123.123.123; };
    dnssec-policy default;
};

Answer 1

最后，我使用了“核”选项，将mydomain.com的K*文件从/var/cache/bind/中删除

rm -f /var/cache/bind/Kmydomain.com.*

然后重新启动绑定

rndc reload
systemctl restart bind9

我不得不在我的父DNS服务器上生成一个新的DS记录并更新它，但是我不能再等了。

如果您知道如何在编辑区域文件时正确地要求BIND生成新的(key/私有/state)文件，我真的很想知道。