BIND 9.9.11p1 で問題が発生しています。私の設定は次のとおりです。
zone "example1.com" {
type master;
file "zones/example1.com";
allow-query { any; };
allow-transfer { 1.2.3.4; };
also-notify { 1.2.3.4; };
key-directory "keys/example1.com";
inline-signing yes;
auto-dnssec maintain;
};
最初の起動時に、BIND はゾーンに署名します。ただし、ゾーン ファイルを更新して (シリアル番号を増やして)、BIND を再起動しても、ゾーンは再署名されません... ログの内容:
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (unsigned): loaded serial 2018021918
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): loaded serial 2018011925 (DNSSEC signed)
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): receive_secure_serial: not exact
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): sending notifies (serial 2018011925)
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): reconfiguring zone keys
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): next key event: 19-Feb-2018 19:36:09.148
ご覧のとおり、シリアルは更新されていますが、ゾーンは再署名されておらず、BIND はゾーンの古いバージョンを提供しています。BIND を再起動する前に .jbk/.signed/.signed.jnl ファイルを削除すると、ゾーンは再署名されますが、そのように進めるのは適切ではないと思います...