<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Tahoma
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>
Hello,<BR>
 <BR>
I have correctly understood the need to have the NS of a subdomain in the parent domain to avoid any malfunction with a future migratio to DNSSEC.<BR>
 <BR>
But can anybody give me a clear method to detect such missconfiguration?<BR>
Is this possible with dig or is it ony possible with the access to the bind text files?<BR>
 <BR>
Regards,<BR>
 <BR>
Hugo,<BR>
 <BR>
<BR> <BR>
<DIV>
<DIV id=SkyDrivePlaceholder></DIV>> Date: Wed, 14 Mar 2012 09:36:26 +0000<BR>> From: cathya@isc.org<BR>> To: bind-users@lists.isc.org<BR>> Subject: Re:<BR>> <BR>> On 13/03/12 20:46, Mark Andrews wrote:<BR>> > <BR>> > In message <CB84B51A.4A53A%dan.mcdonald@austinenergy.com>, Daniel McDonald writ<BR>> > es:<BR>> >><BR>> >> On 3/13/12 8:20 AM, "hugo hugoo" <hugobxl@hotmail.com> wrote:<BR>> >><BR>> >>> ==> do I have to create in zone "toto.be" the following NS record:<BR>> >>> <BR>> >>> titi.toto.be. TTL IN NS ns1.xxx.be<BR>> >>> <BR>> >>> <BR>> >>> I have found cases where this situation is present and other when it is not<BR>> >>> present...and both cases seems to work.<BR>> >>> What is the difference?<BR>> >><BR>> >> The glue records aren't necessary when both the zone and subzone are on the<BR>> >> same server, although it is good to have them for completeness. When the<BR>> >> zones are on different servers you need the glue records.<BR>> > <BR>> > No, they *are* necessary. Just because their lack does not cause<BR>> > a resolution failure in all cases it doesn't mean they are not<BR>> > necessary.<BR>> > <BR>> > If the parent zone is signed but the child zone is unsigned then<BR>> > the lack of NS records *will* cause validation failures unless<BR>> > OPTOUT is in use even when both zones are only served by a common<BR>> > set of servers.<BR>> > <BR>> > DNSSEC catches out lots of bad practices that mostly pass unnoticed<BR>> > with plain DNS.<BR>> > <BR>> > Mark<BR>> <BR>> I would recommend doing it properly including adding glue records (glue<BR>> is the A records associated with the NS records for the delegated child<BR>> zone - but only if those NS records point to names actually in the<BR>> delegated zone).<BR>> <BR>> If you don't do it properly, and then in say 12 months time, someone<BR>> else starts slaving the parent zone to another server that doesn't also<BR>> slave the child zone, things are going to break...<BR>> _______________________________________________<BR>> Please visit https://lists.isc.org/mailman/listinfo/bind-users to unsubscribe from this list<BR>> <BR>> bind-users mailing list<BR>> bind-users@lists.isc.org<BR>> https://lists.isc.org/mailman/listinfo/bind-users<BR></DIV>                                      </div></body>
</html>