
<div dir="ltr">Wonder if you can use ddns zones with catalog zones, haven't tried it myself...</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jan 29, 2019 at 11:27 AM Grant Taylor via bind-users <<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 01/29/2019 01:19 AM, ObNox wrote:<br>

> Hi,<br>

<br>

Hi ObNox,<br>

<br>

> For that to work, I need to make sure every separated component works as <br>

> expected when configured separately.<br>

<br>

Ah, yes.  The joys / perils of testing discrete units individually and <br>

then start pugging them together like Legos and making sure that things <br>

still work.<br>

<br>

> Now, the trouble really begins :<br>

> <br>

> 1/ I update the zones files to uncomment the "test" record and update <br>

> the serial number<br>

> <br>

> 2/ I update "named.conf" to uncomment the "allow-update" statement using <br>

> "key-dhcp"<br>

> <br>

> 3/ "named-checkconf" does not complain so "rndc reload"!<br>

> <br>

> Problem : The syslog messages don't show the lines indicating that the <br>

> zones have been reloaded, here's an extract :<br>

> <br>

> …<br>

> <br>

> I was expecting the usual messages after a zone change, like previously:<br>

> <br>

> …<br>

> <br>

> So now, with the new "allow-update" statement, the zones are not <br>

> reloaded and this is confirmed by "dig" :<br>

> <br>

> …<br>

> <br>

> The new record "test.domain.tld" is not found and the serial is not the <br>

> new one!<br>

<br>

I'm wondering if you're being bitten by something that got me years ago <br>

when I first started messing with dynamic zones that allowed updates.<br>

<br>

In short, when dynamic updates are enabled, BIND will make changes to a <br>

journal file (which I think is binary).  You have to "freeze" and <br>

"flush" the zone to be able to make to text file.<br>

<br>

So I'm guessing that your change wasn't detected because you <br>

transitioned to dynamic updates ~> journal file at the same time (or <br>

apparently) before BIND loaded the new zone.  Thus the journal ~> BIND <br>

was using the old version of the zone file.<br>

<br>

I've found that I do most of my zone administration via nsupdate on the <br>

DNS server using the local key & socket.<br>

<br>

I only go through the "freeze" & "flush", edit, and "thaw" (& "sign" for <br>

DNSSEC) cycle when I have more (complex) edits than I want to make via <br>

nsupdate.  (I've also wrapped nsupdate with rlwrap so that I have some <br>

(readline) history and better nsupdate command line editing.)<br>

<br>

> I've tested dozens of combinations with both "allow-transfer" and <br>

> "allow-update" by putting them at the "view" level, "options" level, <br>

> "global" level, etc. and nothing changed.<br>

<br>

If BIND did do what I'm thinking, then your edits were functionally <br>

lost.  (Technically they may still be in the text file.)<br>

<br>

> So for now I'm lost and I need an expert's PoV to point what I'm doing <br>

> wrong and/or what I missed!<br>

<br>

I'm far from an expert.  But hopefully you can benefit from my toe <br>

stubbing / razor cuts.<br>

<br>

> Thank you for any useful clue.<br>

<br>

Good luck.<br>

<br>

<br>

<br>

-- <br>

Grant. . . .<br>

unix || die<br>

<br>

_______________________________________________<br>

Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>

<br>

bind-users mailing list<br>

<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>

<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>

</blockquote></div>