<div dir="ltr"><div><div><div>Hi Guys,<br><br></div>Thanks for the previous replies.  I hate to dig up and old thread, but im still banging my head on this.  I am trying to configure IPA to send notify to slaves servers on manual updates from the web or CLI tools.<br><br></div>Dynamic DNS updates from an IPA client issuing an nsupdate works great, I get an immediate zone transfer to zone NS slaves ( bind 9.x slaves).<br><br></div><div>Performing an update via IPA CLI ( for non-dynamic static record)  tools triggers nothing.  The test documents and Petr's previous statements hold true for the nsupdate case, is this also true for CLI driven updates as well?   <br><br></div><div>I have tested this on 3.3.5 (Fedora 20)  and 4.1 (COPR) release.<br><br></div><div>Thanks Guys!  <br></div><div><br></div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Sep 3, 2014 at 2:25 AM, Petr Spacek <span dir="ltr"><<a href="mailto:pspacek@redhat.com" target="_blank">pspacek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 1.9.2014 12:16, Dmitri Pal wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 09/01/2014 12:05 PM, Martin Kosek wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 09/01/2014 07:50 AM, Dmitri Pal wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 08/29/2014 09:32 PM, Matthew Sellers wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi Everyone!<br>
<br>
I am using FreeIPA 3.3.5 on Fedora 20 and attempting to configure FreeIPA to<br>
send notifies to non-IPA slaves, but it seems broken on IPA ( notify packets<br>
are never sent to to slaves ).<br>
<br>
I have configured also-notify { nameserverip; };  in named.conf on my FreeIPA<br>
test host in the options section and watched for notify traffic with tcpdump.<br>
<br>
This document suggests that this is supported, and this is something I have<br>
used in non-IPA bind servers with no issues.<br>
<br>
<a href="https://fedoraproject.org/wiki/QA:Testcase_freeipav3_dns_zone_transfer" target="_blank">https://fedoraproject.org/<u></u>wiki/QA:Testcase_freeipav3_<u></u>dns_zone_transfer</a><br>
<br>
I wanted to ask the list before I file a bug with more details.   Is anyone<br>
using this bind feature on IPA with any success?<br>
<br>
Thanks!<br>
Matt<br>
<br>
<br>
</blockquote>
The DNS level change propagation is not supported between IPA replicas instead<br>
it uses LDAP replication to propagate the changes.<br>
If you want another non IPA DNS server to be a slave then you can do it. See<br>
<a href="http://www.freeipa.org/page/V3/DNS_SOA_serial_auto-incrementation" target="_blank">http://www.freeipa.org/page/<u></u>V3/DNS_SOA_serial_auto-<u></u>incrementation</a> for more<br>
information.<br>
</blockquote>
I thought that from F20, bind-dyndb-ldap was capable of native DNS operations<br>
like AXFR/IXFR which can be used to actually deploy slave DNS servers. I wonder<br>
if also-notify is something different. CCing Petr Spacek to advise.<br>
</blockquote>
AFAIU slave DNS servers not controlled by IPA yes, replicas as slaves - no.<br>
</blockquote>
<br></div></div>
Let me summarize:<br>
- AXFR is supported (at least) by all versions RHEL 6.5 and newer versions<br>
- IXFR is supported by bind-dyndb-ldap 4.0 and newer (Fedora 20+)<br>
- DNS NOTIFY messages are always sent to servers listed in NS records<br>
<br>
I.e. you have to add your non-IPA slave servers to NS records in particular zone and then it should 'just work', no other configuration (like 'also-notify') is necessary.<br>
<br>
Please let me know if it doesn't work for you.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
Petr^2 Spacek</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
-- <br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/<u></u>mailman/listinfo/freeipa-users</a><br>
Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
</div></div></blockquote></div><br></div>