Tengo un problema con BIND 9.9.11p1. Mi configuración es:
zone "example1.com" {
type master;
file "zones/example1.com";
allow-query { any; };
allow-transfer { 1.2.3.4; };
also-notify { 1.2.3.4; };
key-directory "keys/example1.com";
inline-signing yes;
auto-dnssec maintain;
};
En la primera salida, BIND firma la zona. Pero si actualizo el archivo de zona (y aumento su número de serie) y luego reinicio BIND, la zona no se volverá a firmar... Contenido de los registros:
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (unsigned): loaded serial 2018021918
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): loaded serial 2018011925 (DNSSEC signed)
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): receive_secure_serial: not exact
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): sending notifies (serial 2018011925)
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): reconfiguring zone keys
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): next key event: 19-Feb-2018 19:36:09.148
Como puede ver, aunque el serial se actualizó, la zona no se volvió a firmar y BIND ofrece una versión anterior de la zona. Si elimino los archivos .jbk/.signed/.signed.jnl antes de reiniciar BIND, la zona se vuelve a firmar, pero no creo que sea así como debo proceder...