<div dir="ltr">Thanks for the answer,<div><br></div><div>I just wanted to confirm:  Various "DNS health checks" complain about SOA serials not being the same.  Are those safe to ignore?</div><div><br></div><div>I have 2 FreeIPA servers for basic redundancy.  Should I not be pointing my hosts at both FreeIPA hosts for DNS?</div><div><br></div><div>Thanks,</div><div><br></div><div>Anthony </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jul 11, 2016 at 3:33 AM, Petr Spacek <span dir="ltr"><<a href="mailto:pspacek@redhat.com" target="_blank">pspacek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 8.7.2016 19:13, Anthony Clark wrote:<br>
> Hello All,<br>
><br>
> I have two FreeIPA servers set up as follows:<br>
><br>
> ns01:  ipa-server-install --realm=<a href="http://DEV.REDACTED.NET" rel="noreferrer" target="_blank">DEV.REDACTED.NET</a> --mkhomedir --setup-dns<br>
> --ssh-trust-dns --forwarder=1.2.3.4<br>
><br>
> ns02:  ipa-replica-install<br>
> /var/lib/ipa/replica-info-ns02.dev.redacted.net.gpg --setup-ca --mkhomedir<br>
> --ssh-trust-dns --setup-dns --forwarder=1.2.3.4<br>
><br>
><br>
> Now, after being in use for a few months, my SOA serial numbers are<br>
> different as reported by the two servers:<br>
><br>
> ns01 reports 1467996578<br>
> ns02 reports 1467996455<br>
><br>
> [root@ns02 ~]# ipa dnszone-show <a href="http://dev.redacted.net" rel="noreferrer" target="_blank">dev.redacted.net</a><br>
> ...<br>
>   SOA serial: 1467996455<br>
> ...<br>
><br>
> Same result on ns01, 1467996455<br>
><br>
> ipa-replica-conncheck is fine.<br>
><br>
> After an "ipactl restart" on ns02 (thinking that I needed to refresh the<br>
> ns02 FreeIPA instance somehow) the SOA serial on ns02 increments *beyond*<br>
> that of ns01:<br>
><br>
> ns01: 1467996578<br>
> ns02:  1467997519<br>
><br>
> Another "ipactl restart" on ns02 results in:<br>
><br>
> ns01:  1467996578<br>
> ns02:  1467997595<br>
><br>
> running "ipactl restart" on ns01 results in:<br>
><br>
> ns01:  1467997873<br>
> ns02:  1467997595<br>
><br>
> ns02 doesn't seem to be getting its serial number from ns01 at all.<br>
><br>
> Did I set up ns02 incorrectly?  Should I have skipped the "--setup-dns" on<br>
> the replica?<br>
><br>
> Does anyone have any suggestions on how to debug this further?<br>
<br>
</div></div>Hello,<br>
<br>
this is in fact expected. IPA has multi-master DNS so serials are not synced.<br>
<br>
This is documented in<br>
<a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/managing-master-dns-zones.html#zone-transfers" rel="noreferrer" target="_blank">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/managing-master-dns-zones.html#zone-transfers</a><br>
<br>
I hope it helps.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Petr^2 Spacek<br>
</font></span></blockquote></div><br></div>