... внимательно читать man'ы:

Настраиваю я, значицца ddns в jail'е - традиционное allow-ipdate { 127.0.0.1; }; не прокатывает, ибо loopback'а в jail'е нет - сталбыть, будем использовать TSIG. Ну, коли уж юзать, то на всю катушку, и вместо allow-update я пишу update-policy { grant ddns_key subdomain example.local. A; }; что-то в этом духе делаю для зоны обратного просмотра (Сама зона другая и разрешенный тип записей - PTR), разрешаю обновление соответствующих зон в DHCP, цепляю виртуальную ХРюшу - ipconfig /renew... Нет, адрес с DHCP я получаю, но новой записи в DNS нёма, а в логах только "updating zone 'example.local/IN': update failed: rejected by secure update (REFUSED)" - понимай, как знаешь.
Нет, я конечно знаю - nsupdate -k и далее по тексту, однако - сюрпри-ииииз! ручное обновление зоны проходит без ошибок, сталбыть, проблема на стороне DHCP. Ключ? Кавычки? Точки? Опции запуска? Компиляции? А вот хз. "Все хорошо, но ничего не работает"(Ц). Наконец, испробовав методом научного тыка все возможные и часть невозможных сочетания параметров делаю то, с чего собственно стоило все это начинать ) - _внимательно_ читаю man. Полностью, а не те куски, "которые нужны". И что бы вы думали? Нахожу искомое в описании директивы update-style interim (Казалось бы, что про него читать? update-syle'ов у нас всего два и один из них ad-hoc "is deprecated" ). Оказывается, эта зар-раза для того, чтобы отличать обновления, вносимые в DNS разными DHCP-серверами кроме A-записи вносит еще и TXT-запись, содержащую md5-hash запроса на получения адреса, а моя секьюрная-пресекьюрная update-policy разрешает для зоны прямого просмотра изменения только и исключительно A-записей. Точка.
Остается вопрос: а) какого рожна в логах не было ничего вразумительного по этому поводу, б) почему не была внесена PTR-запись в зону обратного просмотра в) что, низ-зя было внести одну A а TXT тупо заигнорить?