<div dir="ltr">I am trying to replicate a working configuration on an older host<div>that has a caching server that forwards to an Active Directory DNS</div><div>server at 172.18.0.2 that is part of a split-brain setup with a public</div><div>copy of its zone hosted with Goggle.</div><div><br></div><div>When I attempt to resolve a record on the new caching server, it works</div><div>fine only if the record is not part of the zone hosted by the Active Directory</div><div>server. For example, `dig <a href="http://lists.isc.org">lists.isc.org</a>` works fine.</div><div><br></div><div>When I attempt to resolve a record in the zone hosted on the forwarder, it</div><div>fails with SERVFAIL and I get the following errors in the logs:</div><div><br></div><div>named[1158]: chase DS servers resolving '<a href="http://example.com/DS/IN">example.com/DS/IN</a>': 172.18.0.2#53<br>named[1158]: no valid DS resolving '<a href="http://name.example.com/A/IN">name.example.com/A/IN</a>': 172.18.0.2#53<br></div><div><br></div><div>The configuration I am using is shown below, any ideas as to what I am overlooking?</div><div><br></div><div>options {<br>  listen-on port 53 { 127.0.0.1; };<br>  listen-on-v6 port 53 { ::1; };<br>  directory         "/var/named";<br>  dump-file   "/var/named/data/cache_dump.db";<br>  statistics-file "/var/named/data/named_stats.txt";<br>  memstatistics-file "/var/named/data/named_mem_stats.txt";<br>  secroots-file   "/var/named/data/named.secroots";<br>  recursing-file  "/var/named/data/named.recursing";<br>  allow-query     { localhost; };<br>  recursion yes;<br>  forward only;<br>  forwarders {<br>    172.18.0.2;<br>  };<br>  dnssec-enable yes;<br>  dnssec-validation yes;<br>  managed-keys-directory "/var/named/dynamic";<br>  pid-file "/run/named/named.pid";<br>  session-keyfile "/run/named/session.key";<br>  include "/etc/crypto-policies/back-ends/bind.config";<br>};<br>logging {<br>    channel default_debug {<br>    file "data/named.run";<br>    severity dynamic;<br>  };<br>};<br>zone "." IN {<br>  type hint;<br>  file "<a href="http://named.ca">named.ca</a>";<br>};<br>include "/etc/named.rfc1912.zones";<br>include "/etc/named.root.key";<br><br></div></div>