как регистратор домена обновляет корневые DNS-серверы
Потому что аутентификация LDAP и аутентификация пары ключей это два отдельных режима аутентификации, ни один из которых не заботится о том, что должен сказать другой. SSH будет продолжать попытки использовать любые доступные средства для аутентификации, пока не найдет тот, который работает. Этого можно избежать за счет правильной настройки (например, прочтите pam ).
Корневые зоны (зона . ), управляемые ICANN, в основном устанавливают полномочные DNS для TLD ( .com , .net , ...).
Каждый орган, отвечающий за TLD (Verisign, Afilias, Nominet, AFNIC, ...), может иметь разные протоколы со своими собственными регистраторами. Это может быть автоматическое (например, с использованием «Extensible Provisioning Protocol (EPP)» или любого пользовательского API, который они разработали).
Иногда для некоторых экзотических расширений это более кустарный процесс. Некоторые операторы могут потребовать от своих регистраторов подключения к веб-интерфейсу, телефону или даже использовать почтовую почту для запроса изменений.
Корневые DNS-серверы имеют только информация о делегировании полномочий от ICANN в реестр. Например, домен .net управляется Verisign, поэтому ICANN делегировала бы домен .net серверам имен Verisigns.
Если вы измените делегирование домена, скажем, с помощью GoDaddy, они будут подключаться к своему объекту с помощью Verisign, обычно через EPP или другой протокол, чтобы запросить обновление, которое Verisign затем выполнит на их DNS-серверах.