<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 27 January 2018 at 16:24, NNEX Support <span dir="ltr"><<a href="mailto:support@nnex.net" target="_blank">support@nnex.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Good thought but no luck, it doesn’t matter how many times I run “dig txt <a href="http://rs.dns-oarc.net" rel="noreferrer" target="_blank">rs.dns-oarc.net</a>” or how long I wait it continues to SERVFAIL until I run "dig txt <a href="http://rs.dns-oarc.net" rel="noreferrer" target="_blank">rs.dns-oarc.net</a> +trace" Interestingly I've found that running "dig txt <a href="http://dns-oarc.net" rel="noreferrer" target="_blank">dns-oarc.net</a> +trace" isn't enough to fix it, I actually have to run "dig txt <a href="http://rs.dns-oarc.net" rel="noreferrer" target="_blank">rs.dns-oarc.net</a> +trace" before things start working.<br></blockquote><div><br></div><div>The reason digging against <a href="http://dns-oarc.net">dns-oarc.net</a> doesn't fix <a href="http://rs.dns-oarc.net">rs.dns-oarc.net</a> is because they're different zones.</div><div><br></div><div>I'm not sure why a +trace would have anything to do with what your resolver does, since dig only talks to it to get the root NS set.  Again, I suggest you check the 'resolver' logging channel on your recursive resolver.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
I agree, from my limited understanding this seems to describe what is happening well. The thing I'm wondering is why? I'm running older visions of named (9.9.4, yum provided RPM on CentOS 6) that seem immune to this issue. I've been digging through release notes and can't find any setting that has changed between the versions that might explain it (I know 9.9.4 to 9.12 is a big jump, so I'm sure I'm missing something)<br><br></blockquote><div>The only thing I can think of that has changed in that time, which has ever caused me query issues, is the addition of DNS cookies in the default query.  Some broken authoritative servers will incorrectly respond with things like FORMERR when they see an EDNS option they don't recognize.  I doubt DNS-OARC is running such a name server, but I haven't looked to see.</div><div><br></div><div><br></div></div><br></div></div>