On Fri, Sep 30, 2011 at 6:16 PM, Hauke Lampe <span dir="ltr"><<a href="mailto:lampe@hauke-lampe.de">lampe@hauke-lampe.de</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Aside from the missing DS, I don't see why BIND complains about the<br>
NXDOMAIN response at first and then returns that cached record set in<br>
response to later queries for the same name. dig +sigchase validates it,<br>
if provided with the <a href="http://nau.edu" target="_blank">nau.edu</a> DNSKEY:<br>
<br></blockquote><div><br>The issue can be seen by querying the authoritative source, rather than what the resolver returns.  As someone posted earlier, the cause of the issue is the lack of NS RRs for <a href="http://extended.nau.edu">extended.nau.edu</a> in the <a href="http://nau.edu">nau.edu</a> zone.  Prior to DNSSEC deployment this wasn't really an issue (even though it was certainly a misconfiguration) if all the authoritative servers for the parent zone were also authoritative for the child zone.  In this case the parent authoritative servers knew and could properly respond with the NS RRs.  However, the DS RR is a new beast, and even though it carries the name of the child zone (e.g., <a href="http://extended.nau.edu">extended.nau.edu</a>), the parent zone (e.g., <a href="http://nau.edu">nau.edu</a>) answers authoritatively for that record type.  So when querying for DS vs. other record types the responses are different:<br>
<br>$ dig @<a href="http://ns1.nau.edu">ns1.nau.edu</a> <a href="http://extended.nau.edu">extended.nau.edu</a> ds | grep status<br>;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 39613<br>$ dig @<a href="http://ns1.nau.edu">ns1.nau.edu</a> <a href="http://extended.nau.edu">extended.nau.edu</a> ns | grep status<br>
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28073<br><br>DS queries in this case result in NXDOMAIN for the name because the parent zone has no records of that name (because of the lack of NS RRs for the child).  NS records, however, return NOERROR because the response comes from the child zone which has records of that name.  The resolver returns inconsistent responses based on its configuration (validation, which causes querying for DS RRs) and the state of its cache.  The lack of NS RRs in the parent is also shown in the DNSViz output for <a href="http://extended.nau.edu">extended.nau.edu</a>:<br>
<br><a href="http://dnsviz.net/d/extended.nau.edu/dnssec/">http://dnsviz.net/d/extended.nau.edu/dnssec/</a><br><br>Regards,<br>Casey<br></div></div>