Estou enfrentando um problema com o BIND 9.9.11p1. Minha configuração é:
zone "example1.com" {
type master;
file "zones/example1.com";
allow-query { any; };
allow-transfer { 1.2.3.4; };
also-notify { 1.2.3.4; };
key-directory "keys/example1.com";
inline-signing yes;
auto-dnssec maintain;
};
Na primeira partida, o BIND está assinando a zona. Mas se eu atualizar o arquivo de zona (e aumentar seu serial) e depois reiniciar o BIND, a zona não será assinada novamente... Conteúdo dos logs:
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (unsigned): loaded serial 2018021918
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): loaded serial 2018011925 (DNSSEC signed)
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): receive_secure_serial: not exact
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): sending notifies (serial 2018011925)
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): reconfiguring zone keys
Feb 19 18:36:09 NSX named[65450]: zone example1.com/IN (signed): next key event: 19-Feb-2018 19:36:09.148
Como você pode ver, embora o serial tenha sido atualizado, a zona não foi assinada novamente e o BIND está servindo a versão antiga da zona. Se eu excluir os arquivos .jbk/.signed/.signed.jnl antes da reinicialização do BIND, a zona será assinada novamente, mas não acho que seja assim que devo proceder...