<div dir="ltr"><div>Thanks david,<br></div>This the response i get <br>dig +short <a href="http://rs.dns-oarc.net">rs.dns-oarc.net</a> txt @<forwarderip><br><a href="http://rst.x3827.rs.dns-oarc.net">rst.x3827.rs.dns-oarc.net</a>.<br>
<a href="http://rst.x3837.x3827.rs.dns-oarc.net">rst.x3837.x3827.rs.dns-oarc.net</a>.<br><a href="http://rst.x3843.x3837.x3827.rs.dns-oarc.net">rst.x3843.x3837.x3827.rs.dns-oarc.net</a>.<br>"50.16.87.189 sent EDNS buffer size 4096"<br>
"50.16.87.189 DNS reply size limit is at least 3843 bytes"<br><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Aug 2, 2013 at 11:11 AM, David Newman <span dir="ltr"><<a href="mailto:dnewman@networktest.com" target="_blank">dnewman@networktest.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 8/1/13 10:19 PM, rams wrote:<br>
<br>
> I have 9.7 bind installed and configured recursive.  When i query<br>
> against forwader i am not getting AD flag but remaining answer is<br>
> correct for signed query. Could you please guide me how to get AD flag.<br>
> Already i have enabled dnssec-validation and dnssec-enabled.<br>
<br>
</div></div>It's possible your forwarder has a bug that doesn't return DNSSEC<br>
responses (this is the case with one of our registrars' secondaries), or<br>
there may be a network problem.<br>
<br>
Try the dns-oarc reply size test against your forwarder:<br>
<br>
<a href="https://www.dns-oarc.net/oarc/services/replysizetest" target="_blank">https://www.dns-oarc.net/oarc/services/replysizetest</a><br>
<br>
$ dig +short <a href="http://rs.dns-oarc.net" target="_blank">rs.dns-oarc.net</a> txt @address_of_your_forwarder<br>
<br>
DNSSEC nameservers should not truncate or fragment responses, and should<br>
support EDNS and UDP and TCP responses. Fix any problems here first<br>
before doing DNSSEC debugging.<br>
<br>
You might also try querying other nameservers (e.g., Google's at<br>
8.8.8.8) and check the flags there.<br>
<span class="HOEnZb"><font color="#888888"><br>
dn<br>
<br>
<br>
<br>
<br>
<br>
</font></span></blockquote></div><br></div>