Looks like the future of the DNSSEC make work project includes resolution failures here and there. More security - less stability - guaranteed slavery. I wounder if it's a fair trade.<br><br>we'll see ..<br>regards<br>
joe baptista<br><br><div class="gmail_quote">On Thu, Apr 22, 2010 at 10:52 AM, Chris Thompson <span dir="ltr"><<a href="mailto:cet1@cam.ac.uk">cet1@cam.ac.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="im">On Apr 22 2010, Paul Wouters wrote:<br>
<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On Thu, 22 Apr 2010, Timothe Litt wrote:<br>
<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
I'm having trouble resolving <a href="http://uspto.gov" target="_blank">uspto.gov</a> with bind 9.6.1-P3 and 9.6-ESV<br>
configured as valdidating resolvers.<br>
<br>
Using dig, I get a connection timeout error after a long (~10 sec) delay.<br>
+cdflag provides an immediate response.<br>
</blockquote>
<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Is anyone else seeing this?  Ideas on how to troubleshoot?<br>
</blockquote>
<br>
I have the same problems with our validating unbound instance. <br>
</blockquote>
<br></div>
I suspect that this has to do with<br>
<br>
 dig +dnssec +norec dnskey <a href="http://uspto.gov" target="_blank">uspto.gov</a> @<a href="http://dns1.uspto.gov" target="_blank">dns1.uspto.gov</a>.<br>
 dig +dnssec +norec dnskey <a href="http://uspto.gov" target="_blank">uspto.gov</a> @<a href="http://sns2.uspto.gov" target="_blank">sns2.uspto.gov</a>.<br>
<br>
failing with timeouts, while   dig +dnssec +norec +vc dnskey <a href="http://uspto.gov" target="_blank">uspto.gov</a> @<a href="http://dns1.uspto.gov" target="_blank">dns1.uspto.gov</a>.<br>
 dig +dnssec +norec +vc dnskey <a href="http://uspto.gov" target="_blank">uspto.gov</a> @<a href="http://dns2.uspto.gov" target="_blank">dns2.uspto.gov</a>.<br>
<br>
work fine ... with a 1736-byte answer. Probably the fragmented<br>
UDP response is getting lost somewhere near the authoritative<br>
servers themselves.<br><font color="#888888">
<br>
-- <br>
Chris Thompson<br>
Email: <a href="mailto:cet1@cam.ac.uk" target="_blank">cet1@cam.ac.uk</a></font><div><div></div><div class="h5"><br>
<br>
_______________________________________________<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</div></div></blockquote></div><br><br>