<div dir="ltr">Consider the follwing example:<div><br></div><div>Server A</div><div>DNSSEC=yes</div><div>DNSSEC-validation=yes</div><div>Valid trust anchor for the root zone</div><div>DNSSEC validation seems to work correctly</div><div>Zone <a href="http://one.com">one.com</a>. is setup as a forward zone to server B</div><div><br></div><div>Server B</div><div>DNSSEC=no</div><div>DNSSEC-validation=N/A</div><div>authoritative and the master for <a href="http://one.com">one.com</a>.</div><div><br></div><div>When server A has DNSSEC turned on, requests for resolution of hosts in zone <a href="http://one.com">one.com</a>. get a SERVFAIL response (DNSSEC Signature issues).</div><div><br></div><div>When server A has DNSSEC turned off, requests for resolution of hosts in zone <a href="http://one.com">one.com</a>. succeed.</div><div><br></div><div>While I can fix the errors by turning DNSSEC off on server A, I'd like to enable DNSSEC validation at some point in the not too distant future. Both servers are running bind 9.10. Am I missing something? <br></div><div><br></div><div>Regards,</div><div><br></div><div>Bob</div></div>