<p dir="ltr">On 7 Oct 2014 18:42, "Alan Clegg" <<a href="mailto:alan@clegg.com">alan@clegg.com</a>> wrote:<br>
><br>
> On 10/7/2014 9:49 AM, Terry Burton wrote:<br>
> > This is especially useful in bootstrapping scenarios where the zone<br>
> > data is held under strict revision control or generated by some<br>
> > provisioning system that "owns" the serial number.<br>
><br>
> By setting the number backwards, you are breaking all of your slave servers and causing no-end of problems getting all of THEM corrected.</p>
<p dir="ltr">You've misunderstood. I'm not attempting to decrease the serial number.</p>
<p dir="ltr">With inline signing you have a hidden serial number in the unsigned zone and an exposed serial number in the signed versions which your slaves track. After redeployment (following DR, emergency relocation, elastic capacity expansion, etc.) I want to be able to bump the exposed serial number (once) back to an appropriate value without having to modify the unsigned zones.</p>
<p dir="ltr">(For context, the unsigned zone serial number matches the revision number in a VCS to which the DNS infrastructure hosts and administrators have read-only access, i.e. mandatory separation of infrastructure and data access rights.)</p>