<html><head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  </head>
  <body>
    Hi,<br>
    <br>
    We have a simple setup with a PowerDNS master and two PowerDNS
    slaves (AXFR).  Our zones are generally signed with DNSSEC and
    everything has been working fine. Recently, I started experimenting
    with LUA records, and for those, we're seeing problems (SERVFAIL)
    when we query them through 3rd party resolvers.<br>
    <br>
    At first, I seem to have missed this tiny paragraph in the
    documentation for LUA records:<br>
    <br>
    "LUA records can be DNSSEC signed, but because they are dynamic, it
    is not
    possible to combine pre-signed DNSSEC zone and LUA records. In other
    words,
    the signing key must be available on the server creating answers
    based on
    LUA records."<br>
    <br>
    It makes sense, and indeed, when I query the slaves for the LUA
    records, I don't get any RRSIGs, so I suspect that this must be the
    problem.<br>
    <br>
    My question is: <i>how</i> do I make the signing key availabe on
    the slaves? Does this imply that I have to switch to a form of
    native replication, or is there a way to make this work with AXFR? I
    spent a few hours Googling for this, but I haven't found any clues.<br>
    <br>
    <div class="moz-signature">
      <div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Helvetica,sans-serif;" dir="ltr">
        <div id="Signature">Met vriendelijke groet,<br>
          Best regards,<br>
          <br>
          Martijn Grendelman<br>
          <br>
          <br>
          <br>
        </div>
      </div>
    </div>
  </body>
</html>