<html><head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  </head>
  <body>
    Hi,<br>
    <br>
    <blockquote type="cite" cite="mid:011214bc-c880-7459-a926-6b1cd8fe2b68@isaac.nl"> <br>
      Thank you, that seems to work: importing the key and setting the
      zone to 'not presigned' leads to RRSIG records being produced on
      the slaves.<br>
      <br>
      However, when I edit the zone on the master and trigger a transfer
      to the slaves, the 'PRESIGNED' flag returns on the zone, which is
      documented behaviour:<br>
      <blockquote><i>PowerDNS sets this flag automatically upon incoming
          zone transfers (AXFR) if it detects DNSSEC records in the
          zone. </i><br>
      </blockquote>
      So, I guess I have to either tell the slave to discard the
      incoming DNSSEC records or at least not set the PRESIGNED flag, or
      tell the master not to send them in the AXFR.<br>
      <br>
      Is there any way to do either?<br>
    </blockquote>
    <br>
    To answer my own question: I haven't found anything in the PowerDNS
    docs that could help me, but I may have found a workaround using a
    MySQL trigger on the slaves:<br>
    <br>
    <blockquote>CREATE TRIGGER notpresigned BEFORE INSERT ON
      domainmetadata FOR EACH ROW BEGIN IF NEW.domain_id = 1 AND
      NEW.kind = 'PRESIGNED' THEN SET NEW.content = '0'; END IF ; END; 
      //<br>
      <br>
    </blockquote>
    Any drawbacks?<br>
    <br>
    Best regards,<br>
    Martijn Grendelman<br>
    <br>
    <br>
    <br>
    <br>
    <br>
    <div class="moz-signature">
      <div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Helvetica,sans-serif;" dir="ltr">
        <div id="Signature"></div>
      </div>
    </div>
  </body>
</html>