Hola Cristobal,

Por lo que puedo revisar de tu problema, no tiene que ver con DNSSEC, sino con cómo se están comunicando tus servidores autoritativos entre el master y los slaves y entre medio se desincronizó uno de ellos.

Tu query se puede ver de la misma manera que tienes en tu ejemplo:

dig redesecuador.com +nssearch
SOA ns1.redesecuador.com. root.redesecuador.com. 2020060823 3600 600 1209600 3600 from server 209.177.156.190 in 46 ms.
SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600 1209600 3600 from server 107.161.30.224 in 52 ms.
SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600 1209600 3600 from server 192.73.243.153 in 67 ms.
SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600 1209600 3600 from server 168.235.108.34 in 72 ms.
SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600 1209600 3600 from server 209.177.145.237 in 74 ms.

Esto significa que tu servidor autoritativo secundario ns2.redesecuador.com. tiene una zona más nueva.

El fix más rápido:

Aumenta el serial a un número mayor (por ejemplo a la fecha de hoy 2020062400) en tu servidor primario y fuerza una recarga de zona (con BIND sería `rndc reload redesecuador.com`, en NSD sería `nsd-control reload redesecuador.com`, en Knot-DNS sería `knotc zone-reload redesecuador.com`) eso va a forzar un NOTIFY a los secundarios y ellos deberían actualizarse.

Saludos!

On Wed, Jun 24, 2020 at 5:49 PM Cristobal Alejandro Espinosa Muñoz via dns-esp <dns-esp@listas.nic.cl> wrote:

---------- Forwarded message ----------
From: "Cristobal Alejandro Espinosa Muñoz" <cespinosa@redesecuador.com>
To: dns-esp@listas.nic.cl
Cc:
Bcc:
Date: Wed, 24 Jun 2020 19:48:52 -0500
Subject: Problema con dnssec
Buenas noches

Quería pedir su ayuda con un problema que tengo con dnssec, al momento tengo 5 servidores dns para mi dominio redesecuador.com un master y los otros 4 slave, todo funciona bien excepto el SOA en un servidor slave que es diferente al resto, la configuración en los slave son todas iguales, e reiniciado varias veces y no hay forma de que los 5 servidores tengan el mismo SOA, el que tiene diferente es siempre el mismo

Looks like your nameservers do not agree on the SOA serial. Ths SOA records as reported by your nameservers:
192.73.243.153 -> 2020060815
209.177.156.190 -> 2020060823
107.161.30.224 -> 2020060815
209.177.145.237 -> 2020060815
168.235.108.34 -> 2020060815

Estoy trabajando con bind-chroot en la version 9.x

Si me pueden ayudar con este inconveniente

Saludos

Cristóbal Espinosa Muñoz
RedesEcuador
0984267814

---------- Forwarded message ----------
From: "Cristobal Alejandro Espinosa Muñoz via dns-esp" <dns-esp@listas.nic.cl>
To: dns-esp@listas.nic.cl
Cc:
Bcc:
Date: Wed, 24 Jun 2020 20:49:07 -0400 (-04)
Subject: [dns-esp] Problema con dnssec
_______________________________________________
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp