<div dir="ltr"><div>Hello,<br><br>I have a message that has been showing up in my master DNS server's log over the past few weeks and I am wondering if I can find more verbose specifics from debugging messages in BIND somehow.</div><div><br></div><div>The messsage looks like this:</div><br>May 16 10:52:16 dns01 named[2591]: 16-May-2016 10:52:16.844 update-security: error: client 10.20.0.101#34148: update 'my.domain/IN' denied<br><br>The frequency of the messages is sporadic. Sometime two or three time in an hour, sometimes once each hour, sometimes 2-3 hours go by before I see one, but I get multiple a day.<br><br>I take it that this means that for some reason the slave is trying to update the master with some entry, even though I haven't explicitly set up my slave server to be capable of doing so (that I know of). I intended to have the slaves only receive changes coming down from the master but not to try pushing changes up. <br><br>Here is the zone block for the domain in question in the master and slave servers' /etc/named.conf:<br><br>Master (10.20.0.110):<br><br><div>zone "my.domain" in {</div><div>        type master;</div><div>        file "db.my.domain";</div><div>        allow-transfer {</div><div>                <a href="http://10.20.0.100/32">10.20.0.100/32</a>;</div><div>                <a href="http://10.20.0.101/32">10.20.0.101/32</a>;</div><div>        };</div><div>        allow-update {</div><div>                key "xcat_key";</div><div>        };</div><div>        notify yes;</div><div>        also-notify {10.20.0.100; 10.20.0.101;};</div><div>};</div><div><br></div><div>Slave #2 (10.20.0.101):</div><br><div>zone "my.domain" in {</div><div>        type slave;</div><div>        file "slaves/db.my.domain";</div><div>        masters {10.20.0.110;};</div><div>};<br><br>There are no complaints about Slave #1 in the master's log, though it is basically a clone of Slave #2. They provide name resolution for a compute cluster and the cluster nodes point to both of them in their resolv.conf but in alternating order for load balancing purposes. Is there a way that I can get more detail of what specifically the DNS slave server is trying to update the master with (maybe via more verbose output on the slave itself)?<br><br>Master BIND version: BIND 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1<br>Slave BIND version: BIND 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6<br><br>Thanks,<br>Josh</div></div>