<div dir="ltr">Hello everybody,<div><br></div><div>opendnssec version 1.4.3<br></div><div><br></div><div>I have KASP policy which set the SOA serial configuration to "keep" (<Serial>keep</Serial>). I rise manually the serial number for the zone to be signed, but when the signer runs, it does not detect the serial number change and logs:</div>
<div><br></div><div><div>Feb 13 13:13:45 catwoman ods-signerd: [namedb] zone <a href="http://test.org">test.org</a> cannot keep SOA SERIAL from input zone  (2012070503): previous output SOA SERIAL is 2012070503</div><div>
Feb 13 13:13:45 catwoman ods-signerd: [zone] unable to update zone <a href="http://test.org">test.org</a> soa serial: Conflict detected</div><div>Feb 13 13:13:45 catwoman ods-signerd: [zone] If this is the result of a key rollover, please increment the serial in the unsigned zone <a href="http://test.org">test.org</a></div>
<div>Feb 13 13:13:45 catwoman ods-signerd: [worker[4]] unable to sign zone <a href="http://test.org">test.org</a>: failed to increment serial</div><div>Feb 13 13:13:45 catwoman ods-signerd: [worker[4]] CRITICAL: failed to sign zone <a href="http://test.org">test.org</a>: Conflict detected</div>
<div>Feb 13 13:13:45 catwoman ods-signerd: [worker[4]] backoff task [sign] for zone <a href="http://test.org">test.org</a> with 60 seconds</div></div><div><br></div><div>At that time the unsigned zone has serial - 2012070504 and the zone signed at the previous run has serial - 2012070503.</div>
<div><br></div><div>I was able to reproduce the issue with the "lab" KASP policy, just changing the <Serial> parameter to "keep".</div><div><br></div><div>Running manually "ods-signer sign <a href="http://test.org">test.org</a>" detects the increased serial number and the zone is resigned correctly.</div>
<div><br></div><div>Can someone please try to reproduce the issue and let me know if it's a bug or misconfiguration at my side. Thanks.</div><div><br></div><div>ena</div></div>