<div dir="ltr">Hi,<div>I am getting update failed on master DNS appliance when I am using allow-update-forwading,</div><div><b>updating zone '_<a href="http://msdcs.example.com/IN">msdcs.example.com/IN</a>': update failed: rejected by secure update (REFUSED)</b><br></div><div><br></div><div><a href="http://example.com">example.com</a> is a active directory enabled zone which has one master and one slave. Master appliance is hidden, so active directory sends updates to slave appliance using MNAME specified in the zone SOA section.</div><div><br></div><div><b>master(10.1.10.203) named.conf:</b></div><div><b><br></b></div><div>tkey-gssapi-keytab "/etc/krb5.keytab"; -> In the option section, in /etc folder we have keytab file<br></div><div><br></div><div>zone "_<a href="http://msdcs.example.com">msdcs.example.com</a>" IN {<br>        type master;<br>        file "/var/named/zones/masters/db._<a href="http://msdcs.example.com">msdcs.example.com</a>";<br>        allow-transfer {10.1.10.144;};<br>        also-notify {10.1.10.144;};<br>        notify explicit;<br>        <b>update-policy { grant * subdomain _<a href="http://msdcs.example.com">msdcs.example.com</a>. ANY; };</b><br>        check-names ignore;<br>        zone-statistics yes;<br>};<br></div><div><br></div><div><b>slave(10.1.10.144) named.conf:</b></div><div>zone "_<a href="http://msdcs.example.com">msdcs.example.com</a>" IN {<br>        type slave;<br>        file "/var/named/zones/slaves/db._<a href="http://msdcs.example.com">msdcs.example.com</a>";<br>        allow-notify {10.1.10.203;};<br>        masters {<br>                10.1.10.203;<br>        };<br>        check-names ignore;<br>        zone-statistics yes;<br>        <b>allow-update-forwarding{10.1.10.158;};</b><br>};</div><div><br></div><div><b>10.1.10.158 - AD server</b></div></div>