<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div>On 08 Dec 2009, at 15:18, Hauke Lampe wrote:</div><blockquote type="cite"><div>Niobos wrote:<br><br><blockquote type="cite">When requesting a lookup of "removed", I get a SERVFAIL as well. However, every subsequent request for "removed" gets an NXDOMAIN. (dig outputs below)<br></blockquote><blockquote type="cite">Flushing the caches on the RR with "rndc flush" causes the first request to be a SERVFAIL again.<br></blockquote><br>I cannot reproduce this behaviour with BIND 9.7.0b3. I get a SERVFAIL<br>for all lookups to changed/removed records.<br><br>Maybe you can try these with 9.6.1-P1:<br><br>dig +dnssec normal.fnord.dnstest.hauke-lampe.de<br>should return 127.0.0.1 and the AD flag (if you use DLV with either<br><a href="http://dlv.isc.org">dlv.isc.org</a> or <a href="http://dnssec.iks-jena.de">dnssec.iks-jena.de</a>).<br></div></blockquote><div>Correct</div><br><blockquote type="cite"><div>dig +dnssec changed.fnord.dnstest.hauke-lampe.de<br>should return SERVFAIL and log "error (no valid RRSIG)" for the A record.<font class="Apple-style-span" color="#000000"><font class="Apple-style-span" color="#144FAE"><br></font></font></div></blockquote><div>Correct (I didn't check the log, but the end result is correct)</div><br><blockquote type="cite"><div>dig +dnssec removed.fnord.dnstest.hauke-lampe.de<br>should return SERVFAIL and log validation failures for the SOA as well<br>as the A record (because removing the record disrupted the NSEC3 chain).<br></div></blockquote>Correct (didn't check the log), and it keeps SERVFAIL-ing on subsequent tries as well.</div><div><br></div><div>While trying this, I noticed something that might give some info to where the problem is located:</div><div>As soon as I activate DLV (besides the manual SEP I entered), the "removed" behaviour changes:</div><div>* First lookup still returns SERVFAIL</div><div>* Subsequent lookups now return NXDOMAIN with the AD flag *set*! (log confirms that my domain is not in the DLV and hence is insecure)</div><div><br></div><div>Could you try this lookup?</div><div>dig +dnssec <a href="http://removed.dnssec.dest-unreach.be">removed.dnssec.dest-unreach.be</a></div><div><br></div><div>My keys are not (yet) in any DLV database, so you'll just have to assume my DNSKEYs are correct.</div><div><br></div><div>Could the problem be that the authenticating RR somehow considers this domain to be insecure when looking up "removed"?</div><div><br></div><div>Thanks,</div><div><br></div><div>Niobos</div></body></html>