<div dir="ltr">From what you posted, it appears when you query the recursive server NS1 (192.168.14.10), it returns no error, it gives back NXDOMAIN with the AD flag. That would indicate DNSSEC worked. That does not match the log messages you posted, that would indicate there's a DNSSEC validation error, and you should have received SERVFAIL. </div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jul 20, 2020 at 11:47 PM Weeltin <<a href="mailto:weeltinl@gmail.com">weeltinl@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">Hi Josh,<br><br>Thanks for your answer, it made me go trough all the config again, just to make sure that it wasnt pointing to the authoritative server anywhere but in the configuration of the recursive server<br><br>I saw that "“recursion requested but not available" when i send the query against the authoritative. Kind a expected that, since it aint allowed to do recursion.<br><br>as requested i made the dig on the the authoritative server i get the correct answer, so i expect it has loaded the zonefiles correctly. <br><br>ns2:/home/weeltin# dig @<a href="http://127.0.0.01" target="_blank">127.0.0.01</a> example.home<br><br>; <<>> DiG 9.14.12 <<>> @<a href="http://127.0.0.01" target="_blank">127.0.0.01</a> example.home<br>; (1 server found)<br>;; global options: +cmd<br>;; Got answer:<br>;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45487<br>;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1<br>;; WARNING: recursion requested but not available<br><br>;; OPT PSEUDOSECTION:<br>; EDNS: version: 0, flags:; udp: 4096<br>; COOKIE: b9129ece5d9fbc3e6f01a2215f15a461388d4af048be37fa (good)<br>;; QUESTION SECTION:<br>;example.home.                       IN      A<br><br>;; AUTHORITY SECTION:<br>example.home.               604800  IN      SOA     ns2.example.home. hostmaster.example.home. 2 604800 86400 2419200 604800<br><br>;; Query time: 0 msec<br>;; SERVER: 127.0.0.1#53(127.0.0.1)<br>;; WHEN: Mon Jul 20 14:04:17 UTC 2020<br>;; MSG SIZE  rcvd: 120<br><br><br>just to be sure, i rand the dig command again on my client<br><br>[weeltin@c1 ~]$ dig c1.example.home<br><br>; <<>> DiG 9.11.11-RedHat-9.11.11-1.fc31 <<>> c1.example.home<br>;; global options: +cmd<br>;; Got answer:<br>;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 1787<br>;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1<br><br>;; OPT PSEUDOSECTION:<br>; EDNS: version: 0, flags:; udp: 4096<br>; COOKIE: 862cc48a975a32a324cd14e65f15ba5e3f2c972d1f753586 (good)<br>;; QUESTION SECTION:<br>;c1.example.home.              IN      A<br><br>;; AUTHORITY SECTION:<br>.                   10800   IN      SOA     <a href="http://a.root-servers.net" target="_blank">a.root-servers.net</a>. <a href="http://nstld.verisign-grs.com" target="_blank">nstld.verisign-grs.com</a>. 2020072000 1800 900 604800 86400<br><br>;; Query time: 1043 msec<br>;; SERVER: 192.168.14.10#53(192.168.14.10)<br>;; WHEN: Mon Jul 20 11:38:06 EDT 2020<br>;; MSG SIZE  rcvd: 147<br><br><br>Log output from NS1 (recursive)<br><truncate><br>Jul 20 15:38:05 ns1 <a href="http://daemon.info" target="_blank">daemon.info</a> named[4022]:   validating example.home/SOA: got insecure response; parent indicates it should be secure<br>Jul 20 15:38:05 ns1 <a href="http://daemon.info" target="_blank">daemon.info</a> named[4022]: no valid RRSIG resolving 'c1.example.home/DS/IN': 192.168.14.20#53<br>Jul 20 15:38:06 ns1 <a href="http://daemon.info" target="_blank">daemon.info</a> named[4022]: insecurity proof failed resolving 'c1.example.home/A/IN': 192.168.14.20#53<br></truncate><br><br>and there is no log entries on the authoritative server</div><div dir="ltr"><br></div><div>/Weeltin<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Jul 19, 2020 at 6:05 AM Josh Kuo <<a href="mailto:josh.kuo@gmail.com" target="_blank">josh.kuo@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div dir="auto">When querying your internal domain, I see the query actually ends with “recursion requested but not available”, it looks like you are querying directly against your auth server, so I would check the setting to ensure the zone file is actually loaded correctly.</div><div dir="auto"><br></div><div dir="auto">What Mark answered is assuming you are querying the recursive which then returned SERVFAIL due to DNSSEC validation, but I do not see that in the information you provided. </div><div dir="auto"><br></div><div dir="auto">Can you run dig on the auth server itself, dig @ 127.0.0.1 for example.home, and see what it returns?</div></div><div><br><div class="gmail_quote"><br></div></div>
</blockquote></div></div>
</blockquote></div>