<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    On 11/10/2017 07:05 PM, Mark Andrews wrote:<br>
    <blockquote type="cite"
      cite="mid:34C31341-5CAD-400A-989B-298954A2B7B8@isc.org">
      <pre wrap="">
</pre>
      <blockquote type="cite">
        <pre wrap="">On 11 Nov 2017, at 3:38 am, Tony Finch <a class="moz-txt-link-rfc2396E" href="mailto:dot@dotat.at"><dot@dotat.at></a> wrote:

Filipe Cifali <a class="moz-txt-link-rfc2396E" href="mailto:cifali@kinghost.com.br"><cifali@kinghost.com.br></a> wrote:
</pre>
        <blockquote type="cite">
          <pre wrap="">
I'm trying to have an Auth Server that says the auth flags ('aa') even on
NXDOMAIN.
</pre>
        </blockquote>
        <pre wrap="">
BIND (well, all DNS servers) have to do that. It doesn't need to be
configured. See the first example dig output below.

However the example query in your first message did not seem to match what
you are asking for. You were querying for a domain for which your server
was not authoritative, so it tried to recurse, but failed (some kind of
firewall?). Usually on an auth-only server you should disable recursion,
so your example query would return REFUSED. See the second example dig
output below.


</pre>
        <blockquote type="cite">
          <pre wrap="">This is what the auth-nxdomain should do I suppose.
</pre>
        </blockquote>
        <pre wrap="">
No, auth-nxdomain incorrectly sets the AA bit on non-authoritative
recursive answers, for bug compatibility with BIND 8.
</pre>
      </blockquote>
      <pre wrap="">
More correctly it has to do with RFC 103[45] where NXDOMAIN is not to
be accepted without the AA bit being set to 1 which make it impossible to
return NXDOMAIN from a cache.  This is a specification error.  Some
clients, 2 decades ago, rejected NXDOMAIN without AA being set.  This
flag was to allow the recursive server to interoperate with them.
</pre>
    </blockquote>
    <br>
    Thanks, I understand now how it is supposed to be used.<br>
    <br>
    Is there a way for me to help clear up the docs? I don't think I
    should fill a "bug" report about this. <br>
    <br>
    <blockquote type="cite"
      cite="mid:34C31341-5CAD-400A-989B-298954A2B7B8@isc.org">
      <pre wrap="">
</pre>
      <blockquote type="cite">
        <pre wrap="">

; <<>> DiG 9.12.0b1 <<>> +multiline +noedns +norec nxdomain.cam.ac.uk @authdns0.csx.cam.ac.uk
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 35951
;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;nxdomain.cam.ac.uk.    IN A

;; AUTHORITY SECTION:
cam.ac.uk.              3600 IN SOA ipreg.csi.cam.ac.uk. hostmaster.cam.ac.uk. (
                               1510329268 ; serial
                               1800       ; refresh (30 minutes)
                               900        ; retry (15 minutes)
                               604800     ; expire (1 week)
                               3600       ; minimum (1 hour)
                               )

;; Query time: 1 msec
;; SERVER: 2001:630:212:8::d:a0#53(2001:630:212:8::d:a0)
;; WHEN: Fri Nov 10 16:27:05 GMT 2017
;; MSG SIZE  rcvd: 93


; <<>> DiG 9.12.0b1 <<>> +multiline +noedns +norec notauth @authdns0.csx.cam.ac.uk
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 53652
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;notauth.               IN A

;; Query time: 0 msec
;; SERVER: 2001:630:212:8::d:a0#53(2001:630:212:8::d:a0)
;; WHEN: Fri Nov 10 16:34:11 GMT 2017
;; MSG SIZE  rcvd: 25


Tony.
-- 
f.anthony.n.finch  <a class="moz-txt-link-rfc2396E" href="mailto:dot@dotat.at"><dot@dotat.at></a>  <a class="moz-txt-link-freetext" href="http://dotat.at/">http://dotat.at/</a>  -  I xn--zr8h punycode
Viking, North Utsire: Northwesterly 6 to gale 8, decreasing 5 for a time. Very
rough, occasionally high in north. Showers. Good.
_______________________________________________
Please visit <a class="moz-txt-link-freetext" href="https://lists.isc.org/mailman/listinfo/bind-users">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list

bind-users mailing list
<a class="moz-txt-link-abbreviated" href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a>
<a class="moz-txt-link-freetext" href="https://lists.isc.org/mailman/listinfo/bind-users">https://lists.isc.org/mailman/listinfo/bind-users</a>
</pre>
      </blockquote>
      <pre wrap="">
</pre>
    </blockquote>
    <br>
    <div class="moz-signature">-- <br>
      <link
href="https://fonts.googleapis.com/css?family=Roboto&subset=latin,latin-ext"
        rel="stylesheet" type="text/css">
      <style>
body{
    border: none !important;}
</style> <br>
      <span style="font-size: 15px; font-family: Calibri, Arial,
        Helvetica, Verdana; padding-top: 20px; line-height: 30px; color:
        #ddd;">
...................................................................................................................................................................................................</span>
      <table style="margin-top: 20px; margin-bottom: 0px; border: none
        !important;" border="0" cellspacing="0" cellpadding="0"
        height="154">
        <tbody>
          <tr style="border: none !important;">
            <td rowspan="2" style="border: none !important;"
              align="center" width="179"> <a
                href="https://www.kinghost.com.br"> <img
                  src="https://www.kinghost.com.br/kingnews/assinatura/logo.png"
                  width="175"> </a> </td>
            <td rowspan="2" style=" border-right:1px solid #E5E5E5;"
              width="23" height="132"> <br>
            </td>
            <td rowspan="2" style="border: none !important;" width="20"
              height="132"> <br>
            </td>
            <td style="border: none !important;" valign="top"
              width="600" height="64"> <span style="font-family:Roboto,
                'Roboto Cn', 'Roboto Black', Arial, Helvetica,
                sans-serif; font-weight:bold; font-size:18px;
                color:#381859;">Filipe Cifali Stangler</span><span
                style="font-family:Roboto, 'Roboto Cn', 'Roboto Black',
                Arial, Helvetica, sans-serif; color:#99989d;
                font-weight:bold; font-size:12px;"> | ANALISTA DE
                INFRAESTRUTURA </span><br>
              <span style="font-family:Roboto, 'Roboto Cn', 'Roboto
                Black'; color:#99989d; font-size:12px;"><a
                  href="mailto:cifali@kinghost.com.br">cifali@kinghost.com.br</a>
                | <a href="https://www.kinghost.com.br">www.kinghost.com.br</a></span><br>
            </td>
          </tr>
          <tr style="border: none !important;">
            <td colspan="2" cellpadding="0" cellspacing="0"
              valign="bottom" height="60"> <span
                style="font-family:Roboto, 'Roboto Cn', 'Roboto Black',
                Arial, Helvetica, sans-serif; color:#99989d;
                font-size:15px;">Tire suas dúvidas gratuitamente: <strong
                  style="color:#99989d;">0800.881.5464</strong><br>
                Capitais e polos regionais: <strong
                  style="color:#99989d;">4003.5464</strong><br>
                Atendimento fora do Brasil e Celulares: <strong
                  style="color:#99989d;">(51) 3301.5464</strong></span>
            </td>
          </tr>
        </tbody> <tbody>
          <tr style="border: none !important;">
            <td colspan="4" style="border: none !important;"
              align="center"> <br>
            </td>
          </tr>
          <tr style="border: none !important;">
            <td cellpadding="0" cellspacing="0" valign="bottom"
              height="30"><br>
            </td>
          </tr>
        </tbody>
      </table>
      <a href="http://kingho.st/assinatura"><img
src="https://www.kinghost.com.br/kingnews/assinatura/assinatura-email.png"
          alt="banner - email" border="0"></a>
      <table style="width: 100%; margin-top: 8px; padding: 15px 0;
        border-left: none !important; border-right: none !important; "
        border="0" cellspacing="0" cellpadding="0" width="100%">
        <tbody>
          <tr style="border: none !important;">
            <td style="border: none !important;"> <span
                style="font-size: 15px; font-family:Roboto, 'Roboto Cn',
                'Roboto Black', Arial, Helvetica, sans-serif;
                line-height: 120%; margin: 15px 0; color: #a3a3a3;">
                Este e-mail e seus anexos são confidenciais e podem
                conter informações privilegiadas ou protegidas contra <br>
                divulgação e/ou reprodução. Se você não é o destinatário
                identificado acima, por favor, apague esta mensagem<br>
                de seu sistema e notifique o remetente imediatamente. </span>
            </td>
          </tr>
        </tbody>
      </table>
      <table style="border: none !important; width: 100%; padding: 15px
        0;" border="0" cellspacing="0" cellpadding="0" width="100%">
        <tbody>
          <tr style="border: none !important;">
            <td style="border: none !important;"> <span
                style="font-size: 15px; font-family:Roboto, 'Roboto Cn',
                'Roboto Black', Arial, Helvetica, sans-serif;
                line-height: 120%; color: #a3a3a3;"> This e-mail message
                or any attachment thereto are confidential and may be
                privileged or otherwise protected<br>
                from disclosure and/or reproduction. If you are not
                intendet recipient, please delete it from your system
                and<br>
                notify the sender immediately. </span> </td>
          </tr>
        </tbody>
      </table>
    </div>
  </body>
</html>