<div dir="ltr">Hi,<div><br>I have a BIND master server(10.1.10.110) and slave server(Recursive, 10.1.10.120) and also a global forwarding to another server for non managed domains.</div><div>Forwarding server(10.1.10.25) also a slave for <a href="http://example1.com">example1.com</a> and <a href="http://example2.com">example2.com</a>, which will get zone transfers from BIND slave server.</div><div><br>Below is my named.conf configuration, in the config, for secure zone transfers I am using "server statement" with a TSIG communication key. With this configuration when named is loaded in the BIND slave server,<br>I can only resolve <a href="http://exmple1.com">exmple1.com</a> and <a href="http://example2.com">example2.com</a> on BIND slave server (10.1.10.120), for other non managed domains I see <b>SERVFAIL errors</b>.<br><br>Can anyone tell me why I am getting<b> tsig errors and SERVFAIL errors</b> for non managed zones? Why named using the "server statement" TSIG key in forwarding queries instead of using this TSIG only for ixfr/axfr?<br><br><br><b><i style="">BIND AUTH Master IP: 10.1.10.110<br>BIND AUTH Slave IP: 10.1.10.120<br>Forwarder IP: 10.1.10.25</i></b><br><br><b><u><i>named.conf:</i></u></b></div><div><br>#-------------------------<br># ACLs<br>#-------------------------<br><b>acl "transfer-core-dns" {<br>    10.1.10.25<br>};</b><br><br>#-------------------------<br># Key Definition<br>#-------------------------<br>key "RNDC-KEY" {<br>      algorithm HMAC-SHA512;<br>        secret "ykLMNmAECOp4fcBMqIddG17Ubo4sTvm1zb5YSh7HvEjP8F2f+XU9uavOx4hoVBKANDY0tJIRlNOI8U8LaJunDg==";<br>};<br>#-------------------------<br># Controls Definition<br>#-------------------------<br>acl "RNDC-USERS" {<br> 127.0.0.1;<br>    localhost;<br>};<br>controls {<br>    inet 127.0.0.1 port 953 allow { RNDC-USERS; } keys { "RNDC-KEY";};<br>};<br><br>#-------------------------<br># Logging Definition<br>#-------------------------<br>logging {<br>   channel named {<br>               file "/var/named/log/named.log" versions 10 size 100M;<br>              severity  dynamic;<br>           print-category yes;<br>           print-severity yes;<br>           print-time yes;<br>       };<br>    category default {<br>            named;<br>        };<br>};<br><br>#-------------------------<br># Global Options<br>#-------------------------<br>options {<br> directory "/";<br>      allow-query {any;};<br>   allow-transfer {none;};<br>       blackhole {none;};<br>    dnssec-enable yes;<br>    dnssec-validation no;<br> listen-on-v6 {none;};<br> check-srv-cname ignore;<br>       check-mx-cname ignore;<br>        check-mx ignore;<br>      check-names master ignore;<br>    check-names response ignore;<br>  dump-file "/var/named/log/named_dump.db";<br>   lame-ttl 600;<br> max-ncache-ttl 10800;<br> minimal-responses yes;<br>        pid-file "/var/run/named/named.pid";<br>        recursion yes;<br>        session-keyfile "/var/run/named/session.key";<br>       statistics-file "/var/named/log/named.stats";<br>       tcp-clients 1000;<br>     zone-statistics yes;<br>  empty-zones-enable no;<br>        rrset-order {<br>         order cyclic;<br> };<br>    transfers-in 50;<br>      transfers-out 30;<br>     transfers-per-ns 30;<br>  no-case-compress {any; };<br>     allow-recursion {any;};<br>       recursive-clients 10000;<br><b>     forward only;<br> forwarders {10.1.10.25;};</b><br>   flush-zones-on-shutdown yes;<br>};<br><br>#-------------------------<br># Statistics Section<br>#-------------------------<br>statistics-channels {<br>       inet 127.0.0.1 port 8080 allow { 127.0.0.1; };<br>};<br><br><br><br>#-------------------------<br># Server Definition<br>#-------------------------<br>key "COMMUNICATION-KEY" {<br>    algorithm HMAC-SHA512;<br>        secret "1HVF90bx+6ywx5Ovr1SOCcL2inTDc0gYRoG6BK/TU+g8tAr3j0ptJsZ6OjfNxEYcMGDRt5m5z/it1gPe7+jJqA==";<br>};<br><b>server 10.1.10.25 {<br>        keys  "COMMUNICATION-KEY";<br> provide-ixfr yes;<br>     request-ixfr yes;<br>};</b><br><br>#-------------------------<br># Zone Section<br>#-------------------------<br>zone "." IN { type hint; file "/var/named/zones/masters/db.cache"; };<br>zone "<a href="http://example1.com">example1.com</a>" IN {<br>      type slave;<br>   file "/var/named/zones/slaves/<a href="http://db.example1.com">db.example1.com</a>";<br><b> allow-transfer {transfer-core-dns;};</b><br>        allow-notify {10.1.10.110;};<br>  notify yes;<br>   masters {<br>             10.1.10.110;<br>  };<br>    check-names ignore;<br>   zone-statistics yes;<br>  forwarders {};<br>};<br>zone "<a href="http://example2.com">example2.com</a>" IN {<br>        type slave;<br>   file "/var/named/zones/slaves/<a href="http://db.example2.com">db.example2.com</a>";<br>  allow-transfer {transfer-core-dns;};<br>  allow-notify {10.1.10.110;};<br>  notify yes;<br>   masters {<br>             10.1.10.110;<br>  };<br>    check-names ignore;<br>   zone-statistics yes;<br>  forwarders {};<br>};<br><br><b><u><i>named.log:</i></u></b><br>client: error: query (<a href="http://google.com/NS">google.com/NS</a>): query_find: <b>unexpected error after resuming: tsig indicates error</b><br>query-errors: info: (<a href="http://google.com">google.com</a>): <b>query failed (SERVFAIL) </b>for <a href="http://google.com/IN/NS">google.com/IN/NS</a> at query.c:8678<br>client: error: query (<a href="http://google.com/MX">google.com/MX</a>): query_find: unexpected error after resuming: tsig indicates error<br>query-errors: info: (<a href="http://google.com">google.com</a>): query failed (SERVFAIL) for <a href="http://google.com/IN/MX">google.com/IN/MX</a> at query.c:8678<br>query-errors: info: (<a href="http://google.com">google.com</a>): query failed (SERVFAIL) for <a href="http://google.com/IN/A">google.com/IN/A</a> at query.c:7118<br>query-errors: info: (<a href="http://google.com">google.com</a>): query failed (SERVFAIL) for <a href="http://google.com/IN/A">google.com/IN/A</a> at query.c:7118<br>query-errors: info: (<a href="http://google.com">google.com</a>): query failed (SERVFAIL) for <a href="http://google.com/IN/NS">google.com/IN/NS</a> at query.c:7118<br>query-errors: info: (<a href="http://google.com">google.com</a>): query failed (SERVFAIL) for <a href="http://google.com/IN/MX">google.com/IN/MX</a> at query.c:7118<br></div></div>