<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 12 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Consolas;

        panose-1:2 11 6 9 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri","sans-serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p.MsoPlainText, li.MsoPlainText, div.MsoPlainText

        {mso-style-priority:99;

        mso-style-link:"Plain Text Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:10.5pt;

        font-family:Consolas;}

span.PlainTextChar

        {mso-style-name:"Plain Text Char";

        mso-style-priority:99;

        mso-style-link:"Plain Text";

        font-family:Consolas;}

span.EmailStyle19

        {mso-style-type:personal-compose;

        font-family:"Calibri","sans-serif";

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal">First off, Thank you to all who responded/helped in my previous post – this list is a wonderful community. The inline-signing is now working…sort of.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">We edit the static zone, adding a resource record (of any type), increment the serial, and then do a rndc reload. However, Bind is still looking at the previous dnssec signed file – it’s not picking up the new records.<o:p></o:p></p>

<p class="MsoNormal">Another strange thing is that using the auto-dnssec maintain option, it is still creating a journal file –<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">-rw-rw-r-- 1 named root   2250 Nov 17 11:29 ualbanytest.org.db<o:p></o:p></p>

<p class="MsoNormal">-rw------- 1 named named  9969 Nov 16 12:04 ualbanytest.org.db.signed<o:p></o:p></p>

<p class="MsoNormal">-rw------- 1 named named 13095 Nov 16 11:52 ualbanytest.org.db.signed.jnl<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Doing an rndc stop, removing the signed and signed.jnl files, the new resource records are picked up when named is restarted. But, that defeats the point of inline-signing.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Below is info from our named.conf and our log file (we are using it a chroot and is being run as user named):<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">>>>>>><o:p> </o:p></p>

<p class="MsoNormal">options {<o:p></o:p></p>

<p class="MsoNormal">        directory       "/conf";<o:p></o:p></p>

<p class="MsoNormal">        pid-file        "/var/run/named.pid";<o:p></o:p></p>

<p class="MsoNormal">        statistics-file "/var/run/named.stats";<o:p></o:p></p>

<p class="MsoNormal">        dump-file       "/var/run/named.db";<o:p></o:p></p>

<p class="MsoNormal">        version         "[secured]";<o:p></o:p></p>

<p class="MsoNormal">        dnssec-enable yes;<o:p></o:p></p>

<p class="MsoNormal">        sig-validity-interval 10;<o:p></o:p></p>

<p class="MsoNormal">        dnssec-loadkeys-interval 10;<o:p></o:p></p>

<p class="MsoNormal">        empty-zones-enable no;<o:p></o:p></p>

<p class="MsoNormal">};<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"># DNSSEC Zone<o:p></o:p></p>

<p class="MsoNormal">zone "ualbanytest.org" {<o:p></o:p></p>

<p class="MsoNormal">     type master;<o:p></o:p></p>

<p class="MsoNormal">     file "ualbanytest.org.db";<o:p></o:p></p>

<p class="MsoNormal">     auto-dnssec maintain;<o:p></o:p></p>

<p class="MsoNormal">     inline-signing yes;<o:p></o:p></p>

<p class="MsoNormal">     key-directory "/conf";<o:p></o:p></p>

<p class="MsoNormal">     serial-update-method increment;<o:p></o:p></p>

<p class="MsoNormal">};<o:p></o:p></p>

<p class="MsoNormal">>>>>>>>>><o:p> </o:p></p>

<p class="MsoNormal">17-Nov-2011 11:29:56.865 general: info: received control channel command 'reload'<o:p></o:p></p>

<p class="MsoNormal">17-Nov-2011 11:29:56.865 general: info: loading configuration from '/etc/named.conf'<o:p></o:p></p>

<p class="MsoNormal">17-Nov-2011 11:29:56.866 general: info: using default UDP/IPv4 port range: [1024, 65535]<o:p></o:p></p>

<p class="MsoNormal">17-Nov-2011 11:29:56.866 general: info: using default UDP/IPv6 port range: [1024, 65535]<o:p></o:p></p>

<p class="MsoNormal">17-Nov-2011 11:29:56.867 general: info: sizing zone task pool based on 4 zones<o:p></o:p></p>

<p class="MsoNormal">17-Nov-2011 11:29:56.869 general: info: zone ualbanytest.org/IN (signed): (master) removed<o:p></o:p></p>

<p class="MsoNormal">17-Nov-2011 11:29:56.869 general: info: reloading configuration succeeded<o:p></o:p></p>

<p class="MsoNormal">17-Nov-2011 11:29:56.869 general: info: reloading zones succeeded<o:p></o:p></p>

<p class="MsoNormal">17-Nov-2011 11:29:56.871 general: info: zone ualbanytest.org/IN (unsigned): loaded serial 2011111701<o:p></o:p></p>

<p class="MsoNormal">17-Nov-2011 11:29:56.871 general: info: zone ualbanytest.org/IN (signed): loaded serial 2011111507 (DNSSEC signed)<o:p></o:p></p>

<p class="MsoNormal">17-Nov-2011 11:29:56.871 general: notice: all zones loaded<o:p></o:p></p>

<p class="MsoNormal">17-Nov-2011 11:29:56.871 general: notice: running<o:p></o:p></p>

<p class="MsoNormal">17-Nov-2011 11:29:56.871 general: info: zone ualbanytest.org/IN (signed): reconfiguring zone keys<o:p></o:p></p>

<p class="MsoNormal">17-Nov-2011 11:29:56.872 general: info: zone ualbanytest.org/IN (signed): next key event: 17-Nov-2011 11:39:56.872<o:p></o:p></p>

<p class="MsoNormal">17-Nov-2011 11:29:56.872 notify: info: zone ualbanytest.org/IN (signed): sending notifies (serial 2011111507)<o:p></o:p></p>

<p class="MsoNormal">>>>>>>><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I’m probably missing something, but this list has really been very helpful. Any ideas or suggestions  are greatly appreciated.

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Thanks,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">-Kevin<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoPlainText">Kevin McConville<o:p></o:p></p>

<p class="MsoPlainText">University at Albany<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</body>

</html>