本文介绍如何从 Azure 公共 DNS 区域删除 域名系统安全扩展插件(DNSSEC )。
若要使用 DNSSEC 对区域进行签名,请参阅 如何使用 DNSSEC 对 Azure 公共 DNS 区域进行签名。
先决条件
- DNS 区域必须由 Azure 公共 DNS 托管。 有关详细信息,请参阅管理 DNS 区域。
- 必须具有从父 DNS 区域中删除 DS 记录的权限。 大多数顶级域(.com、.net、.org)都允许你使用注册机构执行此作。
取消区域签名
重要
从 DNS 区域删除 DNSSEC 需要首先从父区域删除委派签名者(DS)记录,并等待 DS 记录的生存时间(TTL)过期。 DS 记录 TTL 过期后,可以安全地取消区域签名。
若要使用 Azure 门户取消区域签名,请执行以下作:
在 Azure 门户主页上,搜索并选择“DNS 区域”。
选择你的 DNS 区域,然后从该区域的“概述”页中选择“DNSSEC”。 可从顶部菜单或“DNS 管理”下选择“DNSSEC”。
如果您已成功在域名注册商处删除此区域的 DS 记录,则会看到 DNSSEC 状态为 签名,但未委派。 在看到此状态之前不要继续。
清除 “启用 DNSSEC ”复选框,然后在弹出对话框中选中“ 确定 ”,确认要禁用 DNSSEC。
在 “禁用 DNSSEC ”窗格中,键入域的名称,然后选择“ 禁用”。
区域目前无签名。
使用 Azure CLI 取消 DNSSEC 签名区域:
- 若要取消签名区域,请发出以下命令。 将订阅 ID、资源组和区域名称的值替换为您的值。
# Ensure you are logged in to your Azure account
az login
# Select the appropriate subscription
az account set --subscription "your-subscription-id"
# Disable DNSSEC for the DNS zone
az network dns dnssec-config delete --resource-group "your-resource-group" --zone-name "adatum.com"
# Verify the DNSSEC configuration has been removed
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"
- 确认在最后一个命令之后显示 (NotFound)DNSSEC 未启用于 DNS 区域 “adatum.com”。 该区域现在未签名。
- 使用以下命令从区域中删除 DNSSEC 签名,并使用 PowerShell 查看区域状态。 将订阅 ID、资源组和区域名称的值替换为您的具体值。
# Connect to your Azure account (if not already connected)
Connect-AzAccount -Environment AzureChinaCloud
# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"
# Disable DNSSEC for the DNS zone
Remove-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
# View the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
- 确认在最后一个命令之后显示 DNS区域“adatum.com”未启用DNSSEC。 区域现在未签名。
后续步骤