
<br><br>On Friday, September 30, 2016, /dev/rob0 <<a href="mailto:rob0@gmx.co.uk">rob0@gmx.co.uk</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Fri, Sep 30, 2016 at 12:04:33PM -0400, John Ratliff wrote:<br>

> I am building a new recursive DNS server. I have it set to forward<br>

> records for a single zone to our HQ DNS servers. When I try to<br>

> resolve a record, I get errors like this:<br>

><br>

> Sep 30 11:25:39 bltn-dns-04 named[2012]: validating<br>

> @0x7fb51810b8f0: stc.corp SOA: got insecure response; parent<br>

> indicates it should be secure<br>

> Sep 30 11:25:39 bltn-dns-04 named[2012]: error (no valid RRSIG)<br>

> resolving 'inelhqnagios.stc.corp/DS/IN': 10.21.0.101#53<br>

> Sep 30 11:25:39 bltn-dns-04 named[2012]: validating<br>

> @0x7fb520545fe0: stc.corp SOA: got insecure response; parent<br>

> indicates it should be secure<br>

> Sep 30 11:25:39 bltn-dns-04 named[2012]: error (no valid RRSIG)<br>

> resolving 'inelhqnagios.stc.corp/DS/IN': 10.21.0.100#53<br>

> Sep 30 11:25:39 bltn-dns-04 named[2012]: error (no valid DS)<br>

> resolving 'inelhqnagios.stc.corp/A/IN': 10.21.0.100#53<br>

> Sep 30 11:25:39 bltn-dns-04 named[2012]: validating<br>

> @0x7fb51810ac60: inelhqnagios.stc.corp A: bad cache hit<br>

> (inelhqnagios.stc.corp/DS)<br>

> Sep 30 11:25:39 bltn-dns-04 named[2012]: error (broken trust chain)<br>

> resolving 'inelhqnagios.stc.corp/A/IN': 10.21.0.101#53<br>

><br>

> This seems to indicate that the servers at 10.21.0.100 and 101 are<br>

> telling me that stc.corp domain is DNSSEC enabled. However, the new<br>

> server fails to find any DS or RRSIG records, so validating this<br>

> claim is not possible. Is this interpretation accurate? Are the<br>

> errors I'm seeing here the result of a misconfigured DNS server at<br>

> our HQ?<br>

<br>

Not quite, no.  The 10.21.0.10[01] servers are giving you insecure<br>

answers which conflict with those you have already gotten from the<br>

root, which say there is no "corp." TLD.<br>

<br></blockquote><div><br></div><div>What about creating and installing a local trust anchor for .Corp?</div><div><br></div><div>Also, im assuming that you already know that using a local / non-delegated TLD is a really bad idea. You should strongly consider moving your namespace under E.g <a href="http://companyname.com">companyname.com</a>.</div><div>See the whole set of discussions on name collisions, home/Corp/mail, the inability to get TLS certificates, etc.</div><div><br></div><div>W</div><div>(Apologies for terseness, about to go into dr appt).<span></span></div><div><br></div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

> I've seen on the internet people suggest disabling DNSSEC<br>

> validation. That seems to be an extreme solution to this problem.<br>

> It works, but my understanding is that this would disable DNSSEC<br>

> validation globally, not just for a single zone.<br>

<br>

That's correct, and it's the only workaround I know of, other than<br>

going to BIND 9.11 and having a cron job to set a negative trust<br>

anchor ("rndc nta") for stc.corp.<br>

<br>

Note that this usage of NTA is undocumented and not recommended; NTAs<br>

are intended to be temporary.<br>

<br>

> The HQ DNS servers at 10.21.0.100 and 101 are Microsoft DNS servers<br>

> over which I have no control, if that information is relevant.<br>

<br>

It is.  If you could have at least one of those allow you to transfer<br>

the stc.corp zone, you could have a slave zone, which would have been<br>

another possible workaround.<br>

<br>

As a slave zone, your server would have authoritative answers, and<br>

thus no need to go to the root.<br>

<br>

> I am running bind9 9.9.5 on Debian 8 with this single zone defined<br>

> in an otherwise stock debian bind9 configuration. I can post the<br>

> remainder of my config if it would be of use.<br>

><br>

> zone "stc.corp" IN {<br>

>         type forward;<br>

>         forwarders { 10.21.0.100; 10.21.0.101; };<br>

>         forward only;<br>

> };<br>

<br>

Oh, another thing you can try; offhand I don't know if it will work,<br>

but try a zone of type "stub" or "static-stub".<br>

--<br>

  <a href="http://rob0.nodns4.us/" target="_blank">http://rob0.nodns4.us/</a><br>

  Offlist GMX mail is seen only if "/dev/rob0" is in the Subject:<br>

______________________________<wbr>_________________<br>

Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/<wbr>listinfo/bind-users</a> to unsubscribe from this list<br>

<br>

bind-users mailing list<br>

<a href="javascript:;" onclick="_e(event, 'cvml', 'bind-users@lists.isc.org')">bind-users@lists.isc.org</a><br>

<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/<wbr>listinfo/bind-users</a><br>

</blockquote><br><br>-- <br>I don't think the execution is relevant when it was obviously a bad idea in the first place.<br>This is like putting rabid weasels in your pants, and later expressing regret at having chosen those particular rabid weasels and that pair of pants.<br>   ---maf<br>