<div dir="ltr">Hola Cristobal,<div><br></div><div>Por lo que puedo revisar de tu problema, no tiene que ver con DNSSEC, sino con cómo se están comunicando tus servidores autoritativos entre el master y los slaves y entre medio se desincronizó uno de ellos.</div><div><br></div><div>Tu query se puede ver de la misma manera que tienes en tu ejemplo:</div><div><br></div><div><font face="monospace">dig <a href="http://redesecuador.com">redesecuador.com</a> +nssearch<br>SOA <a href="http://ns1.redesecuador.com">ns1.redesecuador.com</a>. <a href="http://root.redesecuador.com">root.redesecuador.com</a>. 2020060823 3600 600 1209600 3600 from server 209.177.156.190 in 46 ms.<br>SOA <a href="http://ns1.redesecuador.com">ns1.redesecuador.com</a>. <a href="http://root.redesecuador.com">root.redesecuador.com</a>. 2020060815 3600 600 1209600 3600 from server 107.161.30.224 in 52 ms.<br>SOA <a href="http://ns1.redesecuador.com">ns1.redesecuador.com</a>. <a href="http://root.redesecuador.com">root.redesecuador.com</a>. 2020060815 3600 600 1209600 3600 from server 192.73.243.153 in 67 ms.<br>SOA <a href="http://ns1.redesecuador.com">ns1.redesecuador.com</a>. <a href="http://root.redesecuador.com">root.redesecuador.com</a>. 2020060815 3600 600 1209600 3600 from server 168.235.108.34 in 72 ms.<br>SOA <a href="http://ns1.redesecuador.com">ns1.redesecuador.com</a>. <a href="http://root.redesecuador.com">root.redesecuador.com</a>. 2020060815 3600 600 1209600 3600 from server 209.177.145.237 in 74 ms.<br></font></div><div><br></div><div>Esto significa que tu servidor autoritativo secundario <a href="http://ns2.redesecuador.com">ns2.redesecuador.com</a>. tiene una zona más nueva.</div><div><br></div><div>El fix más rápido:</div><div><br></div><div>Aumenta el serial a un número mayor (por ejemplo a la fecha de hoy 2020062400) en tu servidor primario y fuerza una recarga de zona (con BIND sería `rndc reload <a href="http://redesecuador.com">redesecuador.com</a>`, en NSD sería `nsd-control reload <a href="http://redesecuador.com">redesecuador.com</a>`, en Knot-DNS sería `knotc zone-reload <a href="http://redesecuador.com">redesecuador.com</a>`) eso va a forzar un NOTIFY a los secundarios y ellos deberían actualizarse.</div><div><br></div><div>Saludos!</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jun 24, 2020 at 5:49 PM Cristobal Alejandro Espinosa Muñoz via dns-esp <<a href="mailto:dns-esp@listas.nic.cl">dns-esp@listas.nic.cl</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br><br><br>---------- Forwarded message ----------<br>From: "Cristobal Alejandro Espinosa Muñoz" <<a href="mailto:cespinosa@redesecuador.com" target="_blank">cespinosa@redesecuador.com</a>><br>To: <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>Cc: <br>Bcc: <br>Date: Wed, 24 Jun 2020 19:48:52 -0500<br>Subject: Problema con dnssec<br><div dir="ltr">Buenas noches <div><br></div><div>Quería pedir su ayuda con un problema que tengo con dnssec, al momento tengo 5 servidores dns para mi dominio <a href="http://redesecuador.com" target="_blank">redesecuador.com</a> un master y los otros 4 slave, todo funciona bien excepto el SOA en un servidor slave que es diferente al resto, la configuración en los slave son todas iguales, e reiniciado varias veces y no hay forma de que los 5 servidores tengan el mismo SOA, el que tiene diferente es siempre el mismo </div><div><br></div><div><span style="color:rgb(43,45,48);font-family:Verdana,Arial,Helvetica,sans-serif;font-size:11px;background-color:rgb(255,227,232)">Looks like your nameservers do not agree on the SOA serial. Ths SOA records as reported by your nameservers:</span><br style="padding:0px;margin:0px;color:rgb(43,45,48);font-family:Verdana,Arial,Helvetica,sans-serif;font-size:11px"><strong style="padding:0px;margin:0px;border:0px;outline:0px;font-size:11px;font-family:Verdana,Arial,Helvetica,sans-serif;vertical-align:baseline;background:transparent;color:rgb(43,45,48)">192.73.243.153 -> 2020060815</strong><br style="padding:0px;margin:0px;color:rgb(43,45,48);font-family:Verdana,Arial,Helvetica,sans-serif;font-size:11px"><strong style="padding:0px;margin:0px;border:0px;outline:0px;font-size:11px;font-family:Verdana,Arial,Helvetica,sans-serif;vertical-align:baseline;background:transparent;color:rgb(43,45,48)">209.177.156.190 -> 2020060823</strong><br style="padding:0px;margin:0px;color:rgb(43,45,48);font-family:Verdana,Arial,Helvetica,sans-serif;font-size:11px"><strong style="padding:0px;margin:0px;border:0px;outline:0px;font-size:11px;font-family:Verdana,Arial,Helvetica,sans-serif;vertical-align:baseline;background:transparent;color:rgb(43,45,48)">107.161.30.224 -> 2020060815</strong><br style="padding:0px;margin:0px;color:rgb(43,45,48);font-family:Verdana,Arial,Helvetica,sans-serif;font-size:11px"><strong style="padding:0px;margin:0px;border:0px;outline:0px;font-size:11px;font-family:Verdana,Arial,Helvetica,sans-serif;vertical-align:baseline;background:transparent;color:rgb(43,45,48)">209.177.145.237 -> 2020060815</strong><br style="padding:0px;margin:0px;color:rgb(43,45,48);font-family:Verdana,Arial,Helvetica,sans-serif;font-size:11px"><strong style="padding:0px;margin:0px;border:0px;outline:0px;font-size:11px;font-family:Verdana,Arial,Helvetica,sans-serif;vertical-align:baseline;background:transparent;color:rgb(43,45,48)">168.235.108.34 -> 2020060815</strong> </div><div><br></div><div>Estoy trabajando con bind-chroot en la version 9.x <br></div><div><br></div><div>Si me pueden ayudar con este inconveniente </div><div><br></div><div><br clear="all"><div><div dir="ltr"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div></div><div>Saludos</div><div><br></div><div>Cristóbal Espinosa Muñoz</div><div>RedesEcuador</div><div>0984267814<br></div></div></div></div></div></div></div></div></div></div>
<br><br><br>---------- Forwarded message ----------<br>From: "Cristobal Alejandro Espinosa Muñoz via dns-esp" <<a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a>><br>To: <a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>Cc: <br>Bcc: <br>Date: Wed, 24 Jun 2020 20:49:07 -0400 (-04)<br>Subject: [dns-esp] Problema con dnssec<br>_______________________________________________<br>
dns-esp mailing list<br>
<a href="mailto:dns-esp@listas.nic.cl" target="_blank">dns-esp@listas.nic.cl</a><br>
<a href="https://listas.nic.cl/mailman/listinfo/dns-esp" rel="noreferrer" target="_blank">https://listas.nic.cl/mailman/listinfo/dns-esp</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><span style="font-size:12.8px">Mauricio Vergara Ereche</span><br></div><div><a href="http://about.me/mave" target="_blank">about.me/mave</a></div><div><br></div></div></div></div>