<div dir="ltr">Thanks Mark.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jan 19, 2021 at 6:15 PM Mark Andrews <<a href="mailto:marka@isc.org">marka@isc.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">Forwarding is designed for TSIG and works for SIG(0).  It doesn’t work for GSS-TSIG. <br><br><div dir="ltr">-- <div>Mark Andrews</div></div><div dir="ltr"><br><blockquote type="cite">On 19 Jan 2021, at 22:23, Nagesh Thati <<a href="mailto:tcpnagesh@gmail.com" target="_blank">tcpnagesh@gmail.com</a>> wrote:<br><br></blockquote></div><blockquote type="cite"><div dir="ltr"><div dir="ltr">Hi,<div>I am getting update failed on master DNS appliance when I am using allow-update-forwading,</div><div><b>updating zone '_<a href="http://msdcs.example.com/IN" target="_blank">msdcs.example.com/IN</a>': update failed: rejected by secure update (REFUSED)</b><br></div><div><br></div><div><a href="http://example.com" target="_blank">example.com</a> is a active directory enabled zone which has one master and one slave. Master appliance is hidden, so active directory sends updates to slave appliance using MNAME specified in the zone SOA section.</div><div><br></div><div><b>master(10.1.10.203) named.conf:</b></div><div><b><br></b></div><div>tkey-gssapi-keytab "/etc/krb5.keytab"; -> In the option section, in /etc folder we have keytab file<br></div><div><br></div><div>zone "_<a href="http://msdcs.example.com" target="_blank">msdcs.example.com</a>" IN {<br>        type master;<br>        file "/var/named/zones/masters/db._<a href="http://msdcs.example.com" target="_blank">msdcs.example.com</a>";<br>        allow-transfer {10.1.10.144;};<br>        also-notify {10.1.10.144;};<br>        notify explicit;<br>        <b>update-policy { grant * subdomain _<a href="http://msdcs.example.com" target="_blank">msdcs.example.com</a>. ANY; };</b><br>        check-names ignore;<br>        zone-statistics yes;<br>};<br></div><div><br></div><div><b>slave(10.1.10.144) named.conf:</b></div><div>zone "_<a href="http://msdcs.example.com" target="_blank">msdcs.example.com</a>" IN {<br>        type slave;<br>        file "/var/named/zones/slaves/db._<a href="http://msdcs.example.com" target="_blank">msdcs.example.com</a>";<br>        allow-notify {10.1.10.203;};<br>        masters {<br>                10.1.10.203;<br>        };<br>        check-names ignore;<br>        zone-statistics yes;<br>        <b>allow-update-forwarding{10.1.10.158;};</b><br>};</div><div><br></div><div><b>10.1.10.158 - AD server</b></div></div>
<span>_______________________________________________</span><br><span>Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list</span><br><span></span><br><span>ISC funds the development of this software with paid support subscriptions. Contact us at <a href="https://www.isc.org/contact/" target="_blank">https://www.isc.org/contact/</a> for more information.</span><br><span></span><br><span></span><br><span>bind-users mailing list</span><br><span><a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a></span><br><span><a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a></span><br></div></blockquote></div></blockquote></div>