<div dir="ltr"><div>When I looked at the DNS logs there was nothing of any value (with a fresh attempt of registering DNS records) so I added a logging channel for ldap at severity 9.  After restarting bind the DNS registration worked without issue.  Removing the logging channel and re-running the update worked.  It appears that restarting bind fixed the issue, which is a bit scary.  I’m running bind-dyndb-ldap-6.0.2.  Do you know if anyone has seen this issue before?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 22, 2015 at 1:24 AM, Petr Spacek <span dir="ltr"><<a href="mailto:pspacek@redhat.com" target="_blank">pspacek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 21.10.2015 22:43, Justin Lambert wrote:<br>
> ;; ANSWER SECTION:<br>
> <a href="http://2667812275.sig-ipa1.domain.com" rel="noreferrer" target="_blank">2667812275.sig-ipa1.domain.com</a>. 0 ANY TKEY gss-tsig. 0 0 3 BADKEY 0  0<br>
><br>
> dns_tkey_negotiategss: TKEY is unacceptable<br>
<br>
</span>Please consult named logs on server <a href="http://ipa1.domain.com" rel="noreferrer" target="_blank">ipa1.domain.com</a> and see if there are any<br>
errors related to dynamic update.<br>
<br>
Speaking about GSS-TSIG, one of problems can be clock skew between DNS server<br>
and client.<br>
<br>
Also, please add information about package versions:<br>
$ rpm -q bind bind-dyndb-ldap<br>
<br>
Thank you.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Petr^2 Spacek<br>
<br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>