Greetings,<br>
<br>
Thanks to all for the excellent information on the list and taking the time to reply.<br>
 <br>
Upgrading server hardware, RedHat SELinux, bind, dhcp and going for dnssec on these new machines.<br>
Getting close but still some basic questions before going to a production island of security.<br>
<br>
Signed zone <a href="http://example.edu">example.edu</a>, seen the zone and inaddr.arpa grow as follows using key size of 1024:<br>
     58,930  dns.example-dom<br>
11,892,408  dns.example-dom.signed<br>
     3,191 dns.net-example<br>
6,879,841 dns.net-example.signed<br>
<br>
This was just for our static configurations, the size increase got me 
worried about our dynamic dns zones for wireless and residence hall 
machines. Have been running ddns and dhcp on same machine, master for 
the ddns zones, i.e.<br>
.<a href="http://wireless1.example.edu">wireless1.example.edu</a>  ,   .<a href="http://wireless2.example.edu">wireless2.example.edu</a> ....<br>
.<a href="http://building1.example.edu">building1.example.edu</a>  ,   .<a href="http://building2.example.edu">building2.example.edu</a> ....<br>
<br>
The master for <a href="http://example.edu">example.edu</a> is on one machine and a third machine is secondary for these two. <br>
Lots of ddns traffic on the wireless zones, not much on the hardwired building zones. <br>
Anyway, do not really need dnssec for these dynamic zones, at least not right now.<br>
<br>
Showing my ignorance, can I<br>
Just not sign the dynamic subzones,  wirelessN/<a href="http://buildingN.example.edu">buildingN.example.edu</a>, even though <a href="http://example.edu">example.edu</a> is signed?<br>
Testing with dig, do not get SERVFAIL for the dynamic subzones, and do get the RRSIG for signed <a href="http://example.edu">example.edu</a> queries.<br>
Worried I am breaking something not signing the subzones under a signed main zone and will not see it until going live?<br>
 <a href="http://example.edu">example.edu</a> is signed<br>
 <a href="http://subzone.example.edu">subzone.example.edu</a> is not signed<br>
<br>
thanks!<br>
jim<br>
<br>
<br>
<br>
<br>
<br>
<br>