<div dir="ltr"><div dir="ltr"><div>Hi there,</div><div><br></div><div>Here's the <b>context</b>:</div><div><div><i>Ubuntu 19.10 / Debian bullseye 11</i></div><div><i>bind9 9.15.4</i></div><div><pre class="gmail-code gmail-highlight" lang="plaintext"><i><span id="gmail-LC1" class="gmail-line" lang="plaintext">zone "<a href="http://sdxlive.com">sdxlive.com</a>" </span>
<span id="gmail-LC2" class="gmail-line" lang="plaintext">{</span>
<span id="gmail-LC3" class="gmail-line" lang="plaintext">   type master;</span>
<span id="gmail-LC4" class="gmail-line" lang="plaintext">        file "/etc/bind/<a href="http://db.sdxlive.com">db.sdxlive.com</a>";</span>
<span id="gmail-LC5" class="gmail-line" lang="plaintext"></span>
<span id="gmail-LC6" class="gmail-line" lang="plaintext">   // Publishing and activating dnssec keys</span>
<span id="gmail-LC7" class="gmail-line" lang="plaintext">   auto-dnssec maintain;</span>
<span id="gmail-LC8" class="gmail-line" lang="plaintext"></span>
<span id="gmail-LC9" class="gmail-line" lang="plaintext">   // Using inline signing</span>
<span id="gmail-LC10" class="gmail-line" lang="plaintext">  inline-signing yes;</span>
</i></pre><font face="monospace"><i>        allow-transfer <br>        { <br>                w.x.y.z;<br>        };<br></i></font><pre class="gmail-code gmail-highlight" lang="plaintext"><i><span class="gmail-line" lang="plaintext">...</span>
</i></pre></div><div><i>}</i></div><div><br></div><div></div></div>I'm experiencing a peculiar situation in both aforementioned distributions:<div>- I have modified a zone file and incremented its serial number on the master to 2019101515</div><div>- the debug log shows that the zone transfer has <b>successfully</b> taken place on the primary towards the secondary server:</div><div><i>15-Oct-2019 16:54:59.075 xfer-out: info: client @0xaaaaaaaaaaaa w.x.y.z#54219 (<a href="http://sdxlive.com">sdxlive.com</a>): transfer of '<a href="http://sdxlive.com/IN">sdxlive.com/IN</a>': IXFR started (serial 2019092407 -> 2019101515)<br>15-Oct-2019 16:54:59.075 xfer-out: info: client @0xaaaaaaaaaaaa w.x.y.z#54219 (<a href="http://sdxlive.com">sdxlive.com</a>): transfer of '<a href="http://sdxlive.com/IN">sdxlive.com/IN</a>': IXFR ended: 1 messages, 14 records, 1412 bytes, 0.001 secs (1412000 bytes/sec)<br>15-Oct-2019 16:55:14.078 xfer-out: info: client @0xbbbbbbbbbbbb w.x.y.z#58529 (<a href="http://sdxlive.com">sdxlive.com</a>): transfer of '<a href="http://sdxlive.com/IN">sdxlive.com/IN</a>': AXFR started (serial 2019101515)<br>15-Oct-2019 16:55:14.078 xfer-out: info: client @0xbbbbbbbbbbbb w.x.y.z#58529 (<a href="http://sdxlive.com">sdxlive.com</a>): transfer of '<a href="http://sdxlive.com/IN">sdxlive.com/IN</a>': AXFR ended: 1 messages, 36 records, 2906 bytes, 0.001 secs (2906000 bytes/sec)<br></i></div><div>- actually, the zone transfer could not have succeeded because the port 53 was closed on the secondary server for the master</div><div>- indeed, the secondary server has no knowledge of the new data:</div><div><i># named-checkzone -D -f raw -o - <a href="http://sdxlive.com">sdxlive.com</a> db.sdxlive.com.signed<br>zone <a href="http://sdxlive.com/IN">sdxlive.com/IN</a>: loaded serial 2019092407 (DNSSEC signed)<br></i><div>- whatever I try, it seems impossible to retransfer the zone data now that the port 53 is open:</div><div>on the primary:</div><div><i>rndc freeze <a href="http://sdxlive.com">sdxlive.com</a><br></i></div><div><i>serial number --> 2019101614</i></div><div><i>rndc thaw <a href="http://sdxlive.com">sdxlive.com</a><br></i></div><div><i>A zone reload and thaw was started.<br>Check the logs to see the result.<br></i></div><div><i># grep -P "16-Oct-2019 .* xfer-out: .* -> 2019101614" /var/log/named/debug.log<br></i></div><div><i>#</i></div><div>on the secondary server:</div><div># named-checkzone -D -f raw -o - <a href="http://sdxlive.com">sdxlive.com</a> db.sdxlive.com.signed<br>zone <a href="http://sdxlive.com/IN">sdxlive.com/IN</a>: loaded serial 2019092407 (DNSSEC signed)<br></div><div><br></div><div>As a summary:</div><div>+ there should be some kind of zone transfer control to check whether the transfer has really taken place or not<br></div><div>+ there should be a way to manually force a immediate zone transfer from the master to the secondary server(s) even though only the serial number has changed<br></div><div><br></div><div>So, are these</div><div>+ bugs </div><div>+ some missing features</div><div>+ or am I missing something?</div><div></div>-- <br><div dir="ltr" class="gmail_signature">Jean-Christophe</div></div></div></div>