<div dir="ltr">Hi Alexei,<br><div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Dec 5, 2014 at 2:31 PM, Alexei Malinin <span dir="ltr"><<a href="mailto:Alexei.Malinin@mail.ru" target="_blank">Alexei.Malinin@mail.ru</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">Thank you for the explanation.<br>
<br>
</span>I'm sorry for the misleading Subject of this thread, of course I meant<br>
<span class="">"delegation NS records".<br>
<br></span></blockquote><div><br></div><div>No problem.  I knew what you meant :)<br> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">
I understand from your reply that there are no technical means, tools,<br>
etc for verifying delegation NS records in the parent zone if the child<br>
</span>and parent zone are on the same authoritative name server and zone<br>
<span class="">transfers from that server are prohibited. Is my conclusion correct?<br>
<br></span></blockquote><div><br></div><div>Yes.  If any parent authoritative server is *not* authoritative for the child, then the delegation records can be identified by querying *that server* for a referral.  Otherwise, the delegation NS RRset cannot be gleaned from outside queries.<br><br>There is one slight exception to this.  You *can* learn if the parent has *no* delegation records at all by using a DS query.  This is a corner case but sometimes happens if the operator has neglected to place the appropriate delegation records in the parent zone and doesn't see the problem because, excepting a DS query (for which the *parent* is authoritative, for DNSSEC purposes), the NS response always come from the child when both parent and child zones are hosted on the same server.  If you query a server authoritative for both parent and child for DS, an NXDOMAIN response means that the parent has no delegation records for the child.<br><br></div><div>For example:<br><br>$ dig +noall +comments +authority @<a href="http://ns1.agtel.net">ns1.agtel.net</a> 0-15.66.233.212.in-addr.arpa ds<br>;; Got answer:<br>;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30614<br>;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0<br><br>;; AUTHORITY SECTION:<br>66.233.212.in-addr.arpa. 3600    IN    SOA    <a href="http://ns1.agtel.net">ns1.agtel.net</a>. <a href="http://hostmaster.agtel.net">hostmaster.agtel.net</a>. 2014120402 86400 3600 604800 86400<br></div><div><br>The SOA record indicates that the response indeed came from the parent zone (66.233.212.in-addr.arpa), and the NOERROR response indicates that there are delegation NS records for in the parent zone.<br></div><div><br>Casey</div></div></div></div></div>