<div dir="ltr">Hello All,<br><br>I have two FreeIPA servers set up as follows:<br><br>ns01:  ipa-server-install --realm=<a href="http://DEV.REDACTED.NET">DEV.REDACTED.NET</a> --mkhomedir --setup-dns --ssh-trust-dns --forwarder=1.2.3.4<br><br>ns02:  ipa-replica-install /var/lib/ipa/replica-info-ns02.dev.redacted.net.gpg --setup-ca --mkhomedir --ssh-trust-dns --setup-dns --forwarder=1.2.3.4<br><div><br></div><div><br></div><div>Now, after being in use for a few months, my SOA serial numbers are different as reported by the two servers:</div><div><br></div><div>ns01 reports 1467996578</div><div>ns02 reports 1467996455</div><div><br></div><div><div>[root@ns02 ~]# ipa dnszone-show <a href="http://dev.redacted.net">dev.redacted.net</a></div><div>...</div><div>  SOA serial: 1467996455</div></div><div>...</div><div><br></div><div>Same result on ns01, 1467996455</div><div><br></div><div>ipa-replica-conncheck is fine.</div><div><br></div><div>After an "ipactl restart" on ns02 (thinking that I needed to refresh the ns02 FreeIPA instance somehow) the SOA serial on ns02 increments *beyond* that of ns01:</div><div><br></div><div>ns01: 1467996578</div><div>ns02:  1467997519</div><div><br></div><div>Another "ipactl restart" on ns02 results in:</div><div><br></div><div>ns01:  1467996578</div><div>ns02:  1467997595</div><div><br></div><div>running "ipactl restart" on ns01 results in:</div><div><br></div><div>ns01:  1467997873</div><div>ns02:  1467997595</div><div><br></div><div>ns02 doesn't seem to be getting its serial number from ns01 at all.</div><div><br></div><div>Did I set up ns02 incorrectly?  Should I have skipped the "--setup-dns" on the replica?</div><div><br></div><div>Does anyone have any suggestions on how to debug this further?</div><div><br></div><div>Thanks,</div><div><br></div><div>Anthony Clark</div><div><br></div></div>