<p dir="ltr">DNSSEC sign the private TLD and configure its KSK as a trust anchor on the recursive resolvers.</p>
<p dir="ltr">Alternatively, you can configure all your recursive resolvers as slaves for the private zone. Authoritative responses aren't validated on a mixed authoritative/recursive nameserver.</p>
<p dir="ltr">Those are the only two options that immediately spring to my mind.</p>
<p dir="ltr">Scott</p>
<div class="gmail_quote">On Aug 20, 2013 5:16 PM, "Maria" <<a href="mailto:bind-lists@iano.org">bind-lists@iano.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
My company uses a private tld. We are working on fixing that but the fix is going to take a while, especially if our solution ends up being trying to register it with icann.<br>
<br>
Our resolvers that all internet queries go through have a forward zone statement for that tld to some internal name servers. Unfortunately, when I turn on dnssec validation our resolvers go check out the root zone, see our private zone doesn't exist, and refuse to resolve records in the zone. Is there a solution I can put in place so we can do dnssec validation in the meantime while we work on ceasing to use the private tld?<br>

<br>
Thanks,<br>
Maria<br>
<br>
_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div>