<div dir="ltr"><div>Hi All,</div><div><div><br></div></div><div>We have an authoritative DNS hidden master (bind-9.11.4-9) running behind the network where outgoing UDP traffic to unlisted IPs is blocked.</div><div><div><br></div></div><div>We are using DNSSEC and I've noticed that we are getting following errors in the bind9 logfile: 'managed-keys-zone/default: Unable to fetch DNSKEY set '.': timed out'</div><div><br></div><div>My question is does bind uses 'try-tcp-refresh' when it fails to get the keys via UDP from the root servers?</div><div><br></div><div>This is because our keys are regularly updated, but I'm not sure how.</div><div><br></div><div># rndc managed-keys status <br>view: default<br>next scheduled event: Tue, 25 Feb 2020 19:16:47 GMT<br><br>    name: .<br>    keyid: 20326<br>       algorithm: RSASHA256<br>  flags: SEP<br>    next refresh: Tue, 25 Feb 2020 19:16:47 GMT<br>   trusted since: Mon, 03 Feb 2020 18:10:26 GMT<br></div><div><br></div><div># dig @<a href="http://e.root-servers.net">e.root-servers.net</a> . dnskey +multiline<br><br>; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> @<a href="http://e.root-servers.net">e.root-servers.net</a> . dnskey +multiline<br>; (1 server found)<br>;; global options: +cmd<br>;; connection timed out; no servers could be reached<br></div><div><br></div><div><br></div><div># dig @<a href="http://e.root-servers.net">e.root-servers.net</a> . dnskey +multiline +tcp<br><br>; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> @<a href="http://e.root-servers.net">e.root-servers.net</a> . dnskey +multiline +tcp<br>; (1 server found)<br>;; global options: +cmd<br>;; Got answer:<br>;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22070<br>;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1<br>;; WARNING: recursion requested but not available<br><br>;; OPT PSEUDOSECTION:<br>; EDNS: version: 0, flags:; udp: 65535<br>;; QUESTION SECTION:<br>;.                        IN DNSKEY<br><br>;; ANSWER SECTION:<br>.                      172800 IN DNSKEY 256 3 8 (<br>                            AwEAAeN+h0loXPKt7lFdW2zKIDkVHyJ1aYGUVE1dMNBl<br>                          RH3kTn40JKcHiPOs+fy0OFVCBwoKa1s9qZtdyP1UC0hg<br>                          Koldj3oELK1yLI5MUbTMcNkWbBMRuxRz/CgZJu3Ixcmu<br>                          ZWZMbn4LQDMj5YeiUiuWns5vipFGWWpyPyozQXmenSWO<br>                          K2GJOwcm7I/DyHVtVdztTvqiHqzy2aRoxwPhmEuAoYzz<br>                          uNJJw6JNEnXaN/7l2TIciskFyPVPBFZYHnk+1ma906df<br>                          ehIR190z3lh1ZESL2Yy3VIE2QGpRU6Px4ydH5sXxZ2wS<br>                          MgqNNga4kjnfM1msBqk3EI48RvTTkuV0yb1eFuU=<br>                              ) ; ZSK; alg = RSASHA256 ; key id = 33853<br>.                    172800 IN DNSKEY 257 3 8 (<br>                            AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTO<br>                          iW1vkIbzxeF3+/4RgWOq7HrxRixHlFlExOLAJr5emLvN<br>                          7SWXgnLh4+B5xQlNVz8Og8kvArMtNROxVQuCaSnIDdD5<br>                          LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF0jLHwVN8<br>                          efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7<br>                          pr+eoZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLY<br>                          A4/ilBmSVIzuDWfdRUfhHdY6+cn8HFRm+2hM8AnXGXws<br>                          9555KrUB5qihylGa8subX2Nn6UwNR1AkUTV74bU=<br>                              ) ; KSK; alg = RSASHA256 ; key id = 20326<br><br>;; Query time: 20 msec<br>;; SERVER: 192.203.230.10#53(192.203.230.10)<br>;; WHEN: Mon Feb 24 20:31:08 UTC 2020<br>;; MSG SIZE  rcvd: 578<br></div><div><br></div><div>Thanks in advance</div></div>