

<p class="MsoNormal">I have trouble resolving the host name

<a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>. which is NSEC3 signed. This is the parent and

child zone. If I run dig ( dnssec query) with the +cd option I which is a

proper response:</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal"><span style="font-size: 9pt;">[root@stulcqanusbind1 ~]# dig  <a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>. any +dnssec </span><b>+cd</b><span style="font-size: 9pt;"></span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"> </span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">; <<>> DiG

9.7.1-P2 <<>>  <a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>. any

+dnssec +cd</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">; (1 server found)</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">;; global options: +cmd</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">;; Got answer:</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">;; ->>HEADER<<-

opcode: QUERY, status: NOERROR, id: 1601</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">;; flags: qr rd ra cd; QUERY:

1, ANSWER: 8, AUTHORITY: 3, ADDITIONAL: 1</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"> </span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">;; OPT PSEUDOSECTION:</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">; EDNS: version: 0, flags: do;

udp: 4096</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">;; QUESTION SECTION:</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">;<a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>.  

IN      ANY</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"> </span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">;; ANSWER SECTION:</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"><a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>.

86396 IN   RRSIG   A 7 2 86400 20200831000000

20100831205954 61559 <a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>. A4HqcGYSyEoM7Y75MoRaK4zzNiuL45tq+AnfUIrxxEIPkIOI12FmFyhY

JOQN216QkTbYkJBlNwe2Ky1SRGjwhQ==</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"><a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>.

86396 IN   A       12.12.1.0</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"><a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>.

86396 IN   A       255.12.1.0</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"><a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>.

86396 IN   RRSIG   SOA 7 2 86400 20200831000000

20100831205954 61559 <a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>.

eAV/LHcB3WLA9ULvsz/kcVJ63XeJCX/YAOu9ZFUM+SVDIW/BAUXNfq9O

iNBuukgDBlFZFOQyblfgjpcSW3CQMw==</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"><a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>.

86396 IN   SOA     <a href="http://udns1.ultradns.net">udns1.ultradns.net</a>.

bitbucket\@<a href="http://qa.neustar.com">qa.neustar.com</a>. 2009111903 10800 3600 2592000 86400</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"><a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>.

86396 IN   RRSIG   NS 7 2 86400 20200831000000

20100831205954 61559 <a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>.

r11osNc3HFoVFWjC1iNN9Yv3IKGvApbZwkNLdK5HTlPt+3UDB2Do7RvT

9SSJaZYLj4PEC8Gp6lT1L+0LlsEP9w==</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"><a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>.

86396 IN   NS      <a href="http://udns2.ultradns.net">udns2.ultradns.net</a>.</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"><a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>.

86396 IN   NS      <a href="http://udns1.ultradns.net">udns1.ultradns.net</a>.</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"> </span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">;; AUTHORITY SECTION:</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"><a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>.

86396 IN   NS      <a href="http://udns2.ultradns.net">udns2.ultradns.net</a>.</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"><a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>.

86396 IN   NS      <a href="http://udns1.ultradns.net">udns1.ultradns.net</a>.</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"><a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>.

86396 IN   RRSIG   NS 7 2 86400 20200831000000

20100831205954 61559 <a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>.

r11osNc3HFoVFWjC1iNN9Yv3IKGvApbZwkNLdK5HTlPt+3UDB2Do7RvT

9SSJaZYLj4PEC8Gp6lT1L+0LlsEP9w==</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"> </span></p><br><p class="MsoNormal"> </p>


<p class="MsoNormal">But dig (dnssec query)without +cd option returns servfail.</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal"><span style="font-size: 9pt;"> </span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">[root@stulcqanusbind1 ~]# dig  <a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>. any +dnssec</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"> </span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">; <<>> DiG

9.7.1-P2 <<>> @ <a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>. any

+dnssec</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">; (1 server found)</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">;; global options: +cmd</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">;; Got answer:</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">;; ->>HEADER<<-

opcode: QUERY, status: SERVFAIL, id: 7437</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">;; flags: qr rd ra; QUERY: 1,

ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"> </span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">;; OPT PSEUDOSECTION:</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">; EDNS: version: 0, flags: do;

udp: 4096</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">;; QUESTION SECTION:</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;">;<a href="http://dnssecnsec3qatestdomain.com">dnssecnsec3qatestdomain.com</a>.  

IN      ANY</span></p>


<p class="MsoNormal"><span style="font-size: 9pt;"> </span></p><br><p class="MsoNormal"><span style="font-size: 9pt;"> </span></p>


<p class="MsoNormal">In my logs I am getting messages:</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">Jan  7 13:17:55  named[17154]: error (no

valid RRSIG) resolving '<a href="http://dnssecnsec3qatestdomain.com/DNSKEY/IN">dnssecnsec3qatestdomain.com/DNSKEY/IN</a>':

10.31.142.103#53</p>


<p class="MsoNormal">Jan  7 13:17:55  named[17154]: error

(broken trust chain) resolving '<a href="http://dnssecnsec3qatestdomain.com/ANY/IN">dnssecnsec3qatestdomain.com/ANY/IN</a>':

10.31.142.103#53</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">When doing query without +cd option.</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">Can you figure out what would be the exact problem?</p><p class="MsoNormal"><br></p><p class="MsoNormal">Thanks & Regards,</p><p class="MsoNormal">Ramesh<br></p>