Ich habe ein Problem mit BIND 9.9.11p1. Meine Konfiguration ist:
zone "example1.com" {
type master;
file "zones/example1.com";
allow-query { any; };
allow-transfer { 1.2.3.4; };
also-notify { 1.2.3.4; };
key-directory "keys/example1.com";
inline-signing yes;
auto-dnssec maintain;
};
Beim ersten Start signiert BIND die Zone. Aber wenn ich die Zonendatei aktualisiere (und ihre Seriennummer erhöhe) und dann BIND neu starte, wird die Zone nicht erneut signiert... Protokollinhalte:
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (unsigned): loaded serial 2018021918
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): loaded serial 2018011925 (DNSSEC signed)
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): receive_secure_serial: not exact
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): sending notifies (serial 2018011925)
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): reconfiguring zone keys
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): next key event: 19-Feb-2018 19:36:09.148
Wie Sie sehen, wurde die Zone trotz der Aktualisierung der Seriennummer nicht neu signiert und BIND stellt eine alte Version der Zone bereit. Wenn ich vor dem Neustart von BIND die Dateien .jbk/.signed/.signed.jnl lösche, wird die Zone neu signiert, aber ich glaube nicht, dass ich so vorgehen sollte ...