
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


span.EmailStyle21


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;


        mso-ligatures:none;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="blue" vlink="purple" style="word-wrap:break-word">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">This seems to be an issue with the domain incometax.gov.in.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">DNSSEC looks like is broken for that domain.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">NS servers at our location also cannot resolve that directly  but if I forward that query to any ISP provider NS which are more lax it resolves just fine.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Thanks<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Sandeep<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">


<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> bind-users <bind-users-bounces@lists.isc.org>


<b>On Behalf Of </b>John W. Blue via bind-users<br>


<b>Sent:</b> Wednesday, August 30, 2023 9:39 AM<br>


<b>To:</b> bind-users <bind-users@lists.isc.org><br>


<b>Subject:</b> RE: Facing issues while resolving only one record<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal" style="line-height:12.0pt;background:red"><strong><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;color:white">CAUTION</span></strong><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;color:white">:


<strong><span style="font-family:"Calibri",sans-serif">This email originated from outside of BLS. DO NOT click (select) links or open attachments unless you recognize the sender and know the content is safe. Please report suspicious emails through the “Phish


 Alert Report” button on your email toolbar. </span></strong></span><o:p></o:p></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Recommend you turn off DNSSEC validation and see if it starts working.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">If it does, then you know the issue is with how DNSSEC is configured on your server.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">John<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> bind-users [<a href="mailto:bind-users-bounces@lists.isc.org">mailto:bind-users-bounces@lists.isc.org</a>]


<b>On Behalf Of </b>Blason R<br>


<b>Sent:</b> Wednesday, August 30, 2023 8:20 AM<br>


<b>To:</b> bind-users<br>


<b>Subject:</b> Facing issues while resolving only one record<o:p></o:p></span></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<div>


<p class="MsoNormal">Hi all,<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">I have bind BIND 9.18.17-1+ubuntu22.04.1+isc+1-Ubuntu (Extended Support Version)<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">And I am facing this weird issue. Somehow <a href="http://eportal.incometax.gov.in">


eportal.incometax.gov.in</a> site is not getting resolved through DNS.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">I tried a lot but unfortunately the issue still persists.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Here are packet capture logs.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes<br>


18:47:19.569999 ens18 In  IP 192.168.1.162.61110 > 192.168.1.133.53: 20+ A? <a href="http://eportal.incometax.gov.in">


eportal.incometax.gov.in</a>. (42)<br>


18:47:19.587705 ens18 Out IP 192.168.1.133.40263 > 208.67.222.222.53: 30627+% [1au] A?


<a href="http://eportal.incometax.gov.in">eportal.incometax.gov.in</a>. (65)<br>


18:47:19.599214 ens18 Out IP 192.168.1.133.44299 > 1.1.1.1.53: 62952+% [1au] DNSKEY?


<a href="http://incometax.gov.in">incometax.gov.in</a>. (57)<br>


18:47:20.800736 ens18 Out IP 192.168.1.133.56154 > 8.8.8.8.53: 16152+% [1au] DNSKEY?


<a href="http://incometax.gov.in">incometax.gov.in</a>. (57)<br>


18:47:21.573628 ens18 In  IP 192.168.1.162.53536 > 192.168.1.133.53: 21+ AAAA? <a href="http://eportal.incometax.gov.in">


eportal.incometax.gov.in</a>. (42)<br>


18:47:21.576427 ens18 Out IP 192.168.1.133.55356 > 8.8.8.8.53: 57361+% [1au] AAAA?


<a href="http://eportal.incometax.gov.in">eportal.incometax.gov.in</a>. (65)<br>


18:47:22.002738 ens18 Out IP 192.168.1.133.33064 > 208.67.222.222.53: 16204+% [1au] DNSKEY?


<a href="http://incometax.gov.in">incometax.gov.in</a>. (57)<br>


18:47:22.777934 ens18 Out IP 192.168.1.133.58739 > 208.67.222.222.53: 34205+% [1au] AAAA?


<a href="http://eportal.incometax.gov.in">eportal.incometax.gov.in</a>. (65)<br>


18:47:23.203333 ens18 Out IP 192.168.1.133.60920 > 9.9.9.9.53: 46145+% [1au] DNSKEY?


<a href="http://incometax.gov.in">incometax.gov.in</a>. (57)<br>


18:47:23.584820 ens18 In  IP 192.168.1.162.53962 > 192.168.1.133.53: 22+ A? <a href="http://eportal.incometax.gov.in">


eportal.incometax.gov.in</a>. (42)<br>


18:47:24.405041 ens18 Out IP 192.168.1.133.56475 > 198.41.0.4.53: 12349 [1au] DNSKEY?


<a href="http://incometax.gov.in">incometax.gov.in</a>. (57)<br>


18:47:25.205136 ens18 Out IP 192.168.1.133.33517 > 192.36.148.17.53: 18768 [1au] DNSKEY?


<a href="http://incometax.gov.in">incometax.gov.in</a>. (57)<br>


18:47:25.237837 ens18 Out IP 192.168.1.133.43646 > 156.154.100.20.53: 28883 [1au] DNSKEY?


<a href="http://incometax.gov.in">incometax.gov.in</a>. (57)<br>


18:47:25.259888 ens18 Out IP 192.168.1.133.51762 > 59.160.103.171.53: 46716 [1au] DNSKEY?


<a href="http://incometax.gov.in">incometax.gov.in</a>. (57)<br>


18:47:25.597312 ens18 In  IP 192.168.1.162.53963 > 192.168.1.133.53: 23+ AAAA? <a href="http://eportal.incometax.gov.in">


eportal.incometax.gov.in</a>. (42)<br>


18:47:26.498891 ens18 Out IP 192.168.1.133.52631 > 125.16.225.122.53: 12762 [1au] DNSKEY?


<a href="http://incometax.gov.in">incometax.gov.in</a>. (57)<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">I feel this is something related to DNS RRKEY Record size?<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Plus then I dumbdb on my server and went through cache using command<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><b>#rndc dumpdb -all</b><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">And here is the output<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal"><a href="http://incometax.gov.in">incometax.gov.in</a>.       3422    NS      <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a>.<br>


                        3422    NS      <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a>.<br>


<a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a>.  131     \-AAAA  ;-$NXRRSET<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a>. RRSIG NSEC ...<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a>. NSEC <a href="http://ns02.incometax.gov.in">


ns02.incometax.gov.in</a>. A RRSIG NSEC<br>


; <a href="http://incometax.gov.in">incometax.gov.in</a>. SOA <a href="http://ns01.incometax.gov.in">


ns01.incometax.gov.in</a>. <a href="http://ns-admin.cpc.incometax.gov.in">ns-admin.cpc.incometax.gov.in</a>. 2023060970 7200 3600 1209600 3600<br>


; <a href="http://incometax.gov.in">incometax.gov.in</a>. RRSIG SOA ...<br>


<a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a>.  120     \-AAAA  ;-$NXRRSET<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a>. RRSIG NSEC ...<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a>. NSEC <a href="http://ns03.incometax.gov.in">


ns03.incometax.gov.in</a>. A RRSIG NSEC<br>


; <a href="http://incometax.gov.in">incometax.gov.in</a>. SOA <a href="http://ns02.incometax.gov.in">


ns02.incometax.gov.in</a>. <a href="http://ns-admin.cpc.incometax.gov.in">ns-admin.cpc.incometax.gov.in</a>. 2023071447 7200 3600 1209600 3600<br>


; <a href="http://incometax.gov.in">incometax.gov.in</a>. RRSIG SOA ...<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 131] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 120] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 131] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 120] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 131] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 120] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 131] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 120] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 131] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 120] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 130] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 119] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 128] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 117] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 128] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 117] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 128] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 117] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 128] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 117] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 128] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 117] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 125] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 114] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 125] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 114] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 125] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 114] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 125] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 114] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 125] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 114] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 125] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 114] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 125] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 114] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 125] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 114] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns01.incometax.gov.in">ns01.incometax.gov.in</a> [v6 TTL 124] [v4 unexpected] [v6 nxrrset]<br>


; <a href="http://ns02.incometax.gov.in">ns02.incometax.gov.in</a> [v6 TTL 113] [v4 unexpected] [v6 nxrrset]<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Any idea what could be an issue?<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


</div>


</div>


</body>


</html>