<br><div class="gmail_quote">On Tue, Oct 23, 2012 at 1:08 AM, Stephane Bortzmeyer <span dir="ltr"><<a href="mailto:bortzmeyer@nic.fr" target="_blank">bortzmeyer@nic.fr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
It may be a bug in BIND and it is certainly a bug in the zone<br>
<a href="http://pcextreme.nl" target="_blank">pcextreme.nl</a>.<br>
<br>
BIND validating resolvers are unable to get the IP address of<br>
<a href="http://v1.pcextreme.nl" target="_blank">v1.pcextreme.nl</a>.<br>
<br>
I believe this is because of the strange NSEC:<br>
<br>
<a href="http://tools-newerst.pcextreme.nl" target="_blank">tools-newerst.pcextreme.nl</a>. 2315 IN     NSEC    <a href="http://v2.pcextreme.nl" target="_blank">v2.pcextreme.nl</a>. AAAA RRSIG NSEC<br>
<br>
which says there is nothing between <a href="http://tools-newerst.pcextreme.nl" target="_blank">tools-newerst.pcextreme.nl</a> and<br>
<a href="http://v2.pcextreme.nl" target="_blank">v2.pcextreme.nl</a> (and therefore no v1).<br>
<br>
This is inconsistent since there are also A and AAAA records for<br>
<a href="http://v1.pcextreme.nl" target="_blank">v1.pcextreme.nl</a>.<br>
<br></blockquote><div><br>The issue here is that no delegation NS records exist for <a href="http://v1.pcextreme.nl">v1.pcextreme.nl</a> in its parent zone, <a href="http://pcextreme.nl">pcextreme.nl</a>.  Thus when any server (authoritative for both zones) is queried for <a href="http://v1.pcextreme.nl/DS">v1.pcextreme.nl/DS</a>, NXDOMAIN is returned because there are no records by that name in the parent (no DS or NS).  Because BIND looks upward for DS RRs after validating RRSIGs in <a href="http://v1.pcextreme.nl">v1.pcextreme.nl</a>, it gets the NXDOMAIN response, which changes the cache's understandingof v1.pcextreme.nl--specifically that the name doesn't exist.  The results from your resolver are reflecting that behavior.  unbound perhaps handles authentication differently, e.g., top-down, so it doesn't ever perform the DS query and thus never receives NXDOMAIN for the name.<br>
<br>See also the delegation warning at: <a href="http://dnsviz.net/d/v1.pcextreme.nl/UIY0lg/dnssec/">http://dnsviz.net/d/v1.pcextreme.nl/UIY0lg/dnssec/</a><br><br>Casey<br></div></div>