<div dir="ltr">+cd disables DNSSEC validation.  You are running some very old versions of dig in some cases which don't have dnssec support.   The 9.9 version of dig you have on at least one server should work.  <div><br></div><div>What version of BIND server are you running on the problematic system?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, May 31, 2018 at 8:18 PM, <a href="mailto:cwieland@uci.edu">cwieland@uci.edu</a> <span dir="ltr"><<a href="mailto:cwieland@uci.edu" target="_blank">cwieland@uci.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi<br>
<br>
Can you elaborate on +cd? a dig option, I am not finding it as an option.<br>
<br>
thanks<br>
<span class="HOEnZb"><font color="#888888">con<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
> On May 31, 2018, at 2:51 PM, Warren Kumari <<a href="mailto:warren@kumari.net">warren@kumari.net</a>> wrote:<br>
> <br>
> Try it with +cd and see if that fixes it.<br>
> <br>
> The DNSSEC stuff for this domain is all borked up -- sufficiently that<br>
> I felt like I was playing snakes and ladders while looking at:<br>
> <a href="http://dnsviz.net/d/extranet.aro.army.mil/dnssec/" rel="noreferrer" target="_blank">http://dnsviz.net/d/extranet.<wbr>aro.army.mil/dnssec/</a><br>
> On Thu, May 31, 2018 at 5:45 PM John Miller <<a href="mailto:johnmill@brandeis.edu">johnmill@brandeis.edu</a>> wrote:<br>
>> <br>
>> Hi Con,<br>
>> <br>
>> May I suggest running dig +trace <a href="http://extranet.aro.army.mil" rel="noreferrer" target="_blank">extranet.aro.army.mil</a> from your<br>
>> nameserver?  That'll make the delegation process explicit and help you<br>
>> troubleshoot a little better.  It could be that one of the three main<br>
>> <a href="http://army.mil" rel="noreferrer" target="_blank">army.mil</a> nameservers is unreachable by your ns for some reason<br>
>> (routing being a likely culprit).<br>
>> <br>
>> John<br>
>> <br>
>> On Thu, May 31, 2018 at 5:29 PM, Con Wieland <<a href="mailto:cwieland@uci.edu">cwieland@uci.edu</a>> wrote:<br>
>>> and here they are but I don’t see anything indicating what the problem might be<br>
>>> <br>
>>> 31-May-2018 13:56:01.150 queries: info: client 128.200.1.20#37203 (<a href="http://extranet.aro.army.mil" rel="noreferrer" target="_blank">extranet.aro.army.mil</a>): view internal: query: <a href="http://extranet.aro.army.mil" rel="noreferrer" target="_blank">extranet.aro.army.mil</a> IN A +E (128.200.1.201)<br>
>>> 31-May-2018 13:56:01.151 resolver: debug 1: createfetch: <a href="http://aro.army.mil.edgekey.dmz.akamai.csd.disa.mil" rel="noreferrer" target="_blank">aro.army.mil.edgekey.dmz.<wbr>akamai.csd.disa.mil</a> A<br>
>>> 31-May-2018 13:56:06.153 queries: info: client 128.200.1.20#37203 (<a href="http://extranet.aro.army.mil" rel="noreferrer" target="_blank">extranet.aro.army.mil</a>): view internal: query: <a href="http://extranet.aro.army.mil" rel="noreferrer" target="_blank">extranet.aro.army.mil</a> IN A +E (128.200.1.201)<br>
>>> 31-May-2018 13:56:06.153 resolver: debug 1: createfetch: <a href="http://aro.army.mil.edgekey.dmz.akamai.csd.disa.mil" rel="noreferrer" target="_blank">aro.army.mil.edgekey.dmz.<wbr>akamai.csd.disa.mil</a> A<br>
>>> 31-May-2018 13:56:11.158 queries: info: client 128.200.1.20#37203 (<a href="http://extranet.aro.army.mil" rel="noreferrer" target="_blank">extranet.aro.army.mil</a>): view internal: query: <a href="http://extranet.aro.army.mil" rel="noreferrer" target="_blank">extranet.aro.army.mil</a> IN A +E (128.200.1.201)<br>
>>> 31-May-2018 13:56:11.158 query-errors: debug 1: client 128.200.1.20#37203 (<a href="http://extranet.aro.army.mil" rel="noreferrer" target="_blank">extranet.aro.army.mil</a>): view internal: query failed (SERVFAIL) for <a href="http://extranet.aro.army.mil/IN/A" rel="noreferrer" target="_blank">extranet.aro.army.mil/IN/A</a> at query.c:7215<br>
>>> 31-May-2018 13:56:11.158 resolver: debug 1: createfetch: <a href="http://aro.army.mil.edgekey.dmz.akamai.csd.disa.mil" rel="noreferrer" target="_blank">aro.army.mil.edgekey.dmz.<wbr>akamai.csd.disa.mil</a> A<br>
>>> 31-May-2018 13:56:21.168 query-errors: debug 1: client 128.200.1.20#37203 (<a href="http://extranet.aro.army.mil" rel="noreferrer" target="_blank">extranet.aro.army.mil</a>): view internal: query failed (SERVFAIL) for <a href="http://extranet.aro.army.mil/IN/A" rel="noreferrer" target="_blank">extranet.aro.army.mil/IN/A</a> at query.c:7215<br>
>>> <br>
>>>> On May 31, 2018, at 12:51 PM, Reindl Harald <<a href="mailto:h.reindl@thelounge.net">h.reindl@thelounge.net</a>> wrote:<br>
>>>> <br>
>>>> <br>
>>>> <br>
>>>> Am 31.05.2018 um 21:42 schrieb Con Wieland:<br>
>>>>> agreed but why would my server not resolve it while others do?<br>
>>>> <br>
>>>> ask the logs of 128.200.1.201<br>
>>>> <br>
>>>> ; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> <a href="http://extranet.aro.army.mil" rel="noreferrer" target="_blank">extranet.aro.army.mil</a><br>
>>>> ;; global options: +cmd<br>
>>>> ;; Got answer:<br>
>>>> ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 56491<br>
>>>> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1<br>
>>>> ;; SERVER: 128.200.1.201#53(128.200.1.<wbr>201)<br>
>>>> <br>
>>>>>> On May 31, 2018, at 12:16 PM, Reindl Harald <<a href="mailto:h.reindl@thelounge.net">h.reindl@thelounge.net</a>> wrote:<br>
>>>>>> <br>
>>>>>> <br>
>>>>>> <br>
>>>>>> Am 31.05.2018 um 21:09 schrieb Con Wieland:<br>
>>>>>>> I have a nameserver that can not resolve <a href="http://extranet.aro.army.mil" rel="noreferrer" target="_blank">extranet.aro.army.mil</a>.<br>
>>>>>> <br>
>>>>>> terrible slow and insane config - fix it<br>
>>>>>> <br>
>>>>>> <a href="https://intodns.com/aro.army.mil" rel="noreferrer" target="_blank">https://intodns.com/aro.army.<wbr>mil</a><br>
>>>>>> <br>
>>>>>> ;; Query time: 1175 msec<br>
>>>>>> ;; SERVER: 127.0.0.1#53(127.0.0.1)<br>
>>>>>> ;; WHEN: Do Mai 31 21:12:26 CEST 2018<br>
>>>>>> ;; MSG SIZE  rcvd: 247<br>
>>>>>> <br>
>>>>>> ;; Query time: 1109 msec<br>
>>>>>> ;; SERVER: 8.8.8.8#53(8.8.8.8)<br>
>>>>>> ;; WHEN: Do Mai 31 21:12:52 CEST 2018<br>
>>>>>> ;; MSG SIZE  rcvd: 191<br>
>>>>>> <br>
>>>>>> ;; ANSWER SECTION:<br>
>>>>>> <a href="http://aro.army.mil" rel="noreferrer" target="_blank">aro.army.mil</a>.           2022    IN      NS      <a href="http://ns03.army.mil" rel="noreferrer" target="_blank">ns03.army.mil</a>.<br>
>>>>>> <a href="http://aro.army.mil" rel="noreferrer" target="_blank">aro.army.mil</a>.           2022    IN      NS      <a href="http://ns02.army.mil" rel="noreferrer" target="_blank">ns02.army.mil</a>.<br>
>>>>>> <a href="http://aro.army.mil" rel="noreferrer" target="_blank">aro.army.mil</a>.           2022    IN      NS      <a href="http://ns01.army.mil" rel="noreferrer" target="_blank">ns01.army.mil</a>.<br>
>>>>>> <br>
>>>>>> ;; Query time: 163 msec<br>
>>>>>> ;; SERVER: 192.82.113.7#53(192.82.113.7)<br>
>>>>>> ;; WHEN: Do Mai 31 21:15:37 CEST 2018<br>
>>>>>> ;; MSG SIZE  rcvd: 98<br>
>>>>>> Warn        SOA REFRESH     WARNING: Your SOA REFRESH interval is: 900. That is<br>
>>>>>> not so ok<br>
>>>>>> Warn        SOA RETRY       Your SOA RETRY value is: 90. That is NOT OK<br>
>>>> <br>
>>> <br>
>>> ______________________________<wbr>_________________<br>
>>> Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/<wbr>listinfo/bind-users</a> to unsubscribe from this list<br>
>>> <br>
>>> bind-users mailing list<br>
>>> <a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>
>>> <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/<wbr>listinfo/bind-users</a><br>
>> <br>
>> <br>
>> <br>
>> --<br>
>> John Miller<br>
>> Senior Systems Engineer<br>
>> Brandeis University ITS<br>
>> <a href="mailto:johnmill@brandeis.edu">johnmill@brandeis.edu</a><br>
>> (781) 736-4619<br>
>> ______________________________<wbr>_________________<br>
>> Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/<wbr>listinfo/bind-users</a> to unsubscribe from this list<br>
>> <br>
>> bind-users mailing list<br>
>> <a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>
>> <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/<wbr>listinfo/bind-users</a><br>
> <br>
> <br>
> <br>
> -- <br>
> I don't think the execution is relevant when it was obviously a bad<br>
> idea in the first place.<br>
> This is like putting rabid weasels in your pants, and later expressing<br>
> regret at having chosen those particular rabid weasels and that pair<br>
> of pants.<br>
>   ---maf<br>
> <br>
<br>
______________________________<wbr>_________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/<wbr>listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/<wbr>listinfo/bind-users</a><br>
</div></div></blockquote></div><br></div>