<div dir="ltr"><span style="font-family:arial,sans-serif;font-size:13px">This is the scenario.</span><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">
I installed BIND9 via `apt-get` on a newly installed UBUNTU 12.04, virtualized on VirtualBox.</div><div style="font-family:arial,sans-serif;font-size:13px">The network works properly because if I indicate a different server from my own BIND9 (the first line of '/etc/resolv.conf' is, for example, `nameserver 8.8.8.8`) the lookups and any action on the Internet succeed.</div>
<div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">BIND9 configuration is the default one.</div><div style="font-family:arial,sans-serif;font-size:13px">
I deleted all local zones that I added (even if internal lookups worked correctly). Now there are only default zones (root, localhost, 127.in-addr.arpa, 0.in-addr.arpa, 255.in-addr.arpa).</div><div style="font-family:arial,sans-serif;font-size:13px">
Options are the default ones</div><div style="font-family:arial,sans-serif;font-size:13px">options {</div><div style="font-family:arial,sans-serif;font-size:13px">    directory "/var/cache/bind";</div><div style="font-family:arial,sans-serif;font-size:13px">
<br></div><div style="font-family:arial,sans-serif;font-size:13px">    dnssec-validation auto;</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">
    auth-nxdomain no;</div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">    listen-on-v6 {any;}</div><div style="font-family:arial,sans-serif;font-size:13px">
};<br><br>In this situation, if I dig anything the lookup fails, and the log is full of "lame server" and "FORMERR".<br><br>Why?<br>Perhaps the problem is due to the presence of “dnssec-validaton“ line?</div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/1/8 Kevin Darcy <span dir="ltr"><<a href="mailto:kcd@chrysler.com" target="_blank">kcd@chrysler.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5"><br>
On 1/8/2013 9:35 AM, Daniele wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
If I use BIND9 forwarding all the queries not belonging to my local zones, it works.<br>
<br>
But if I don't forward those queries, `dig` sometimes (and this is weird) fails (with "connection timed out; no servers could be reached") and the logs are full of "lame server", "FORMERR".<br>

<br>
Why?<br>
</blockquote></div></div>
My guess is that your nameserver is having so much trouble resolving Internet names that it's thrashing and this is causing intermittent slowdowns/failures resolving even names from local zones.<br>
<br>
You might be able to confirm or deny this speculation by looking at how many concurrent recursive clients you have (e.g. through rndc).<br>
<br>
If confirmed, this leads to the bigger question of why you're having trouble resolving Internet names. "Lame server" is almost certainly a problem with the remote nameserver and/or the delegation to that nameserver, rather than your nameserver or anything in between. FORMERR, on the other hand, might be caused if some intermediate device is mangling your packets. Personally, I'd do a packet capture at various points in the path and analyze the results. Improper handling of EDNS0 frequently leads to these types of symptoms.<span class="HOEnZb"><font color="#888888"><br>

<br>
                                    - Kevin</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
______________________________<u></u>_________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/<u></u>listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/<u></u>listinfo/bind-users</a><br>
</div></div></blockquote></div><br></div>