<div dir="ltr">Hi Laura,<div><br></div><div>TSIG failures can occur if the time on the client and server differs by more than 5 minutes. Perhaps the time on one of the systems (likely the primary) is wrong by more than 5 minutes.</div><div><br></div><div>Regards,</div><div>Anand</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, 16 May 2024 at 10:41, n5d9xq3ti233xiyif2vp--- via nsd-users <<a href="mailto:nsd-users@lists.nlnetlabs.nl">nsd-users@lists.nlnetlabs.nl</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Could someone kindly explain what "query: bad tsig signature for key" means and how to fix it ?<br>
<br>
<br>
I have quadruple checked (a) tsig key matches both sides (b) tsig algo matches both sides.<br>
<br>
<br>
Primary is PowerDNS 4.9.0 (from the PowerDNS repo)<br>
Secondaries are NSD 4.6.1 (from Debian Bookworm distro repo)<br>
<br>
<br>
The secondaries do not receive notifies from primary, instead posting the above error to logs. So they are currently relying on SOA pull refresh behaviour.<br>
<br>
<br>
Setting "verbosity:2" in nsd.conf has absolutely zero effect.  It produces zero extra detail in logs.<br>
<br>
<br>
Thanks !<br>
<br>
<br>
Laura<br>
<br>
_______________________________________________<br>
nsd-users mailing list<br>
<a href="mailto:nsd-users@lists.nlnetlabs.nl" target="_blank">nsd-users@lists.nlnetlabs.nl</a><br>
<a href="https://lists.nlnetlabs.nl/mailman/listinfo/nsd-users" rel="noreferrer" target="_blank">https://lists.nlnetlabs.nl/mailman/listinfo/nsd-users</a><br>
</blockquote></div>