Het formaat van het SOA-serienummer is ongeldig: oorzaken en oplossingen

Als u onlangs een DNS-controle hebt uitgevoerd en de waarschuwing„Het formaat van het SOA-serienummer is ongeldig“ hebt gekregen, is er sprake van een configuratiefout in uw Start of Authority (SOA)-record. Deze waarschuwing verschijnt wanneer het serienummer in uw DNS-zone niet voldoet aan de normen die door DNS-servers en diagnostische tools worden vereist.

Simpel gezegd: het serienummer is de versieteller voor je DNS-zone. Als het geen geldig 32-bits geheel getal zonder teken is tussen 0 en 4.294.967.295, weten je DNS-systemen, en dan met name de secundaire servers, niet hoe ze met updates moeten omgaan.

Deze foutmelding komt meestal voor bij het gebruik van tools voor het opzoeken van DNS-records, bij mislukte zoneoverdrachten of in DNS-validatierapporten van providers.

Wat is een SOA-serienummer?

Een SOA-serienummer is een versienummer voor een DNS-zonebestand dat andere DNS-servers laat weten of de DNS-records van het domein zijn bijgewerkt.

Dit specifieke veld in het SOA-record fungeert als een mechanisme voor versiebeheer. Telkens wanneer u een DNS-record wijzigt (zoals een A-, MX- of TXT-record), moet het serienummer met één worden verhoogd. Deze wijziging geeft secundaire DNS-servers door dat de primaire zone is bijgewerkt en zet hen ertoe aan een nieuwe kopie op te halen via een zoneoverdracht.

Aangezien het hier gaat om een 32-bits geheel getal zonder teken, ligt het technische bereik van dit getal tussen 0 en 4.294.967.295. Hoewel je technisch gezien elk getal binnen dit bereik kunt gebruiken, zijn er twee gangbare notaties:

De datumnotatie is de industriestandaard, omdat beheerders hierdoor in één oogopslag precies kunnen zien wanneer de zone voor het laatst is gewijzigd.

Wat betekent „SOA-serienummerformaat is ongeldig“?

De foutmelding „SOA-serienummerformaat is ongeldig“ geeft aan dat uw SOA-serienummer de validatiecontroles niet heeft doorstaan. Hoewel dit uw website doorgaans niet direct platlegt, veroorzaakt het wel een „stille storing“. Secundaire naamservers vertrouwen op dit nummer om te weten wanneer ze moeten updaten. Als het formaat ongeldig is, stoppen ze met synchroniseren met de primaire server. Dit leidt tot een split-brain-scenario: sommige gebruikers zien uw nieuwe updates, terwijl anderen vastzitten aan oude, 'verouderde' records, afhankelijk van welke server ze bezoeken.

Wat is de oorzaak van een ongeldig SOA-serienummer?

1. Overschrijding van de limiet voor 32-bits gehele getallen

De meest voorkomende oorzaak is een te groot getal. De maximale waarde is 4.294.967.295.

• De fout: het gebruik van een 11-cijferige datumnotatie, zoals 20240315001. Aangezien dit getal groter is dan 4,2 miljard, is het wiskundig gezien ongeldig voor dit veld.

2. Niet-cijfertekens

Het SOA-serienummerveld moet een puur geheel getal zijn. Als er punten, streepjes of letters in staan, wordt er onmiddellijk een foutmelding wegens een ongeldig formaat weergegeven.

• Ongeldige voorbeelden: 15-03-2024, v1.0 of 15-03-2024.

3. De waarde op nul instellen

Hoewel dit technisch gezien volgens vroege RFC’s is toegestaan, markeren veel moderne SOA-tools voor het opzoeken van records de waarde „0“ als ongeldig, omdat deze vaak duidt op een niet-geïnitialiseerde of verkeerd geconfigureerde zone.

4. Niet-verhoging na wijzigingen

DNS-propagatie is gebaseerd op „serienummerberekening“. Secundaire (slave) servers controleren regelmatig het SOA-record van de primaire server; als het serienummer niet hoger is dan het nummer dat zij op dat moment hebben, zullen zij de update niet ophalen.

• De fout: vergeten het serienummer bij te werken of het per ongeluk met één te verlagen.
• Het resultaat: secundaire servers blijven ‘niet synchroon’ lopen en leveren verouderde gegevens. Sommige tools signaleren dit als een probleem met het formaat of de volgorde wanneer ze vaststellen dat de reeks niet verloopt zoals verwacht.

5. Onjuiste logica op basis van datums

Het gebruik van DDMMYYYY in plaats van YYYYMMDD kan problemen opleveren. Zo is 3112202401 nu nog geldig, maar over een paar jaar zou een op een datum gebaseerd getal dat begint met 31 de limiet van 4,2 miljard kunnen overschrijden.

Wat is het juiste formaat voor een SOA-serienummer?

De veiligste manier om fouten te voorkomen is de indeling JJJJMMDDnn. Deze indeling is overzichtelijk, gemakkelijk te lezen en blijft ruim binnen de 32-bitslimiet.

• YYYY: Het jaartal van vier cijfers (bijv. 2026)
• MM: De maand in twee cijfers (01–12)
• DD: De tweecijferige dag (01–31)
• nn: Een revisieteller met twee cijfers (00–99) voor meerdere updates op één dag.

SOA Record Structuur

<domain> <TTL> IN SOA <primary-nameserver> <admin-email> (

<serial-number>

<refresh>

<retry>

<expire>

<minimum-TTL>

Voorbeeld van een SOA-record

example.com. 3600 IN SOA ns1.example.com. admin.example.com. (

2026040701

3600

900

1209600

300

)

Praktijksituatie: de 'overloop'-fout

Stel je voor dat een systeembeheerder bij een groeiend technologiebedrijf zijn DNS-records meerdere keren per dag bijwerkt. Hij besluit een zeer nauwkeurige tijdstempel te gebruiken, zoals 202604071230 (jaar-maand-dag-uur-minuut).

• Resultaat: Het getal 20.260.407.1230 bestaat uit 12 cijfers.
• De fout: De DNS-serversoftware weigert de update omdat de waarde hoger is dan 4.294.967.295. Secundaire servers blijven het oude IP-adres doorgeven, wat voor de helft van de gebruikers tot een storing van de website kan leiden, ook al is de „oplossing“ op de primaire server opgeslagen.

Hoe los je de foutmelding „SOA-serienummerformaat is ongeldig“ op?

Stap 1: Zoek je huidige gegevens op

Gebruik een tool om te zien wat er momenteel is gepubliceerd. Je kunt dit handmatig doen door deze opdracht in je terminal uit te voeren:

dig SOA uwdomein.com

Of, om het uzelf gemakkelijker te maken, kunt u de webgebaseerde SOA-recordzoekfunctie van PowerDMARC gebruiken voor een direct en volledig overzicht van uw SOA-record.

Stap 2: Stel vast om welke overtreding het gaat

Controleer of uw serienummer langer is dan 10 cijfers, leestekens bevat of dat de vervaldatum van de SOA buiten het toegestane bereik valt, aangezien deze zaken vaak samen voorkomen.

Stap 3: Voer een geldig serienummer in

Bereken het nummer van vandaag. Als het vandaag 7 april 2026 is, moet je nieuwe serienummer 2026040701 zijn. Belangrijk: zorg ervoor dat dit nieuwe nummer numeriek hoger is dan het huidige nummer (ook al is dat ongeldig).

Stap 4: Bijwerken

Log in bij uw DNS-provider (Cloudflare, AWS Route 53, GoDaddy). Werk het veld bij en sla het op. Voer na het opslaan uw opzoektool opnieuw uit om te controleren of het nieuwe 10-cijferige formaat actief is.

Stap 5: Controleer

Het kan tot 48 uur duren voordat de secundaire naamservers via zoneoverdracht zijn gesynchroniseerd.

Hoe kan ik fouten met SOA-serienummers in de toekomst voorkomen?

Zodra DNS-records correct zijn geconfigureerd, zouden ze stabiel moeten blijven. Zo zorgt u ervoor dat dit zo blijft:

• Houd je aan de standaard: gebruik altijd YYYYMMDDnn. Dit is niet voor niets de norm in de branche.
• Gebruik automatische nummerverhoging indien beschikbaar: de meeste beheerde providers, zoals Cloudflare en Route 53, verhogen het serienummer automatisch; schakel deze functie in als uw provider dit ondersteunt.
• Controleer na wijzigingen: Voer, telkens wanneer u servers migreert of van DNS-provider verandert, een snelle controle uit met een DNS-checker om er zeker van te zijn dat uw serienummers tijdens de verhuizing niet zijn vervormd.

Hoe zorg je ervoor dat het SOA-recordformaat geldig blijft?

Het oplossen van een ongeldig SOA-serienummer is een cruciale stap om het wereldwijde bereik en de consistentie van uw domein te waarborgen. Door u aan de YYYYMMDDnn-standaard te houden, voorkomt u het risico op 32-bits overloop en zorgt u voor een duidelijk controlespoor van uw DNS-wijzigingen.

Hoewel handmatige updates veel voorkomen in aangepaste Berkeley Internet Name Domain (BIND)-omgevingen, voeren de meeste moderne cloud-DNS-providers deze aanpassingen automatisch uit. Door regelmatig een controle uit te voeren, zorgt u er echter voor dat uw handmatige of geautomatiseerde configuraties binnen het normale werkingsbereik blijven, waardoor uw primaire en secundaire naamservers perfect op elkaar blijven afgestemd.

Laat de betrouwbaarheid van uw domein niet in gevaar brengen door verborgen configuratiefouten. Meld u vandaag nog aan bij PowerDMARC vandaag nog aan om volledig inzicht te krijgen in de status van uw DNS, de beveiliging van uw domein te automatiseren en ervoor te zorgen dat uw secundaire servers perfect gesynchroniseerd blijven.

Veelgestelde Vragen

Zorgt een ongeldig SOA-serienummer ervoor dat DNS niet meer werkt?

Dit heeft niet voor iedereen onmiddellijk gevolgen. Het verbreekt in de eerste plaats de synchronisatie tussen uw primaire en secundaire naamservers. Na verloop van tijd leidt dit ertoe dat de secundaire servers „verouderde“ of verlopen gegevens weergeven.

Mag ik een eenvoudig cijfer zoals „1“ gebruiken?

Ja, maar het wordt niet aangeraden om dit handmatig te beheren. Als je „1, 2, 3…“ gebruikt, kun je niet meer in één oogopslag zien wanneer de laatste update heeft plaatsgevonden.

Waarom is 4.294.967.295 de limiet?

Dit is de maximale waarde die kan worden opgeslagen in een 32-bits binaire ruimte zonder teken, wat de architecturale standaard is voor DNS-velden zoals gedefinieerd in Request for Comments (RFC) 1035.

• Over
• Laatste berichten

Yunes Tarada

Expert domein- en e-mailbeveiliging bij PowerDMARC

Yunes is teamleider Operations bij PowerDMARC en heeft expertise in e-mailauthenticatie en -beveiliging. Hij is een door Microsoft gecertificeerde Azure Administrator Associate en beschikt over certificeringen zoals CompTIA A+ en vele andere.

Laatste berichten van Yunes Tarada (Bekijk alle berichten)

• DMARCbis uitgelegd – Wat verandert er en hoe kunt u zich voorbereiden - 16 april 2026
• Het formaat van het SOA-serienummer is ongeldig: oorzaken en oplossingen - 13 april 2026
• Veilige e-mails versturen in Gmail: stap-voor-stap handleiding - 7 april 2026