<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=gb2312"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:宋体;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"Microsoft YaHei UI";
        panose-1:2 11 5 3 2 2 4 2 2 4;}
@font-face
        {font-family:"\@宋体";
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:"Minion Pro Cond";
        panose-1:0 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:"\@Microsoft YaHei UI";
        panose-1:2 11 5 3 2 2 4 2 2 4;}
@font-face
        {font-family:????;
        panose-1:0 0 0 0 0 0 0 0 0 0;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"批注框文本 Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:9.0pt;
        font-family:"Times New Roman","serif";}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin:0cm;
        margin-bottom:.0001pt;
        text-indent:21.0pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.EmailStyle18
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.Char
        {mso-style-name:"批注框文本 Char";
        mso-style-priority:99;
        mso-style-link:批注框文本;
        font-family:宋体;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 90.0pt 72.0pt 90.0pt;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:1538275936;
        mso-list-type:hybrid;
        mso-list-template-ids:1167213668 893168060 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;}
@list l0:level1
        {mso-level-text:"%1\)";
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        margin-left:18.0pt;
        text-indent:-18.0pt;}
@list l0:level2
        {mso-level-tab-stop:72.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;}
@list l0:level3
        {mso-level-tab-stop:108.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;}
@list l0:level4
        {mso-level-tab-stop:144.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;}
@list l0:level5
        {mso-level-tab-stop:180.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;}
@list l0:level6
        {mso-level-tab-stop:216.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;}
@list l0:level7
        {mso-level-tab-stop:252.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;}
@list l0:level8
        {mso-level-tab-stop:288.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;}
@list l0:level9
        {mso-level-tab-stop:324.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;}
ol
        {margin-bottom:0cm;}
ul
        {margin-bottom:0cm;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=ZH-CN link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'>I report it to Bind support team.  Only one response from Mark, not viewing this as a problem.<o:p></o:p></span></p><p class=MsoNormal><a name="_MailEndCompose"><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></a></p><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'>Davey<o:p></o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:宋体'>发件人<span lang=EN-US>:</span></span></b><span lang=EN-US style='font-size:10.0pt;font-family:宋体'> discuss [mailto:discuss-bounces@lists.yeti-dns.org] </span><b><span style='font-size:10.0pt;font-family:宋体'>代表 </span></b><span lang=EN-US style='font-size:10.0pt;font-family:宋体'>Davey Song(</span><span style='font-size:10.0pt;font-family:宋体'>宋林健<span lang=EN-US>)<br></span><b>发送时间<span lang=EN-US>:</span></b><span lang=EN-US> 2016</span>年<span lang=EN-US>9</span>月<span lang=EN-US>27</span>日<span lang=EN-US> 19:25<br></span><b>收件人<span lang=EN-US>:</span></b><span lang=EN-US> discuss@lists.yeti-dns.org; bind-bugs@isc.org<br></span><b>主题<span lang=EN-US>:</span></b><span lang=EN-US> [Yeti DNS Discuss] FW: Yeti KSK rollover: resolver BIND9 issue<br></span><b>重要性<span lang=EN-US>:</span></b><span lang=EN-US> </span>高<span lang=EN-US><o:p></o:p></span></span></p></div></div><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'>Hi  colleagues, <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'>There is an issues spotted when we use Yeti resolver(BIND 9.10.4-p2) during Yeti KSK rollover.  The resolver is deployed in BII’s 6Plat network which help IPv4 users connect to IPv6 using tunnels. The resolver is configured with different views. Bugs are reported once we added new views for new users after KsK rolling (In Yeti KSK rollover plan, once new key become active the old key is set revoked).  <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'>We found that the new views’ mkeys files only contains the old key which is inherited from the managed-keys in global setting (named.conf). But it is not inherited from the managed keys database where is ideal to be inherited in RFC5011 context.  That’s why DNSSEC is failed  in new views because old key was revoked. I check  the manual for BIND9.10.4-P2. It is said that unlike trusted-keys, managed-keys may only be set at the top level of named.conf, not within a view. It gives an assumption that for each view, it cannot set managed-key. Later we try to set the managed-keys for new views, it works. <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'>So we have some observations and preliminary suggestions :  <o:p></o:p></span></p><p class=MsoListParagraph style='margin-left:18.0pt;text-indent:-18.0pt;mso-list:l0 level1 lfo2'><![if !supportLists]><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'><span style='mso-list:Ignore'>1)<span style='font:7.0pt "Times New Roman"'>       </span></span></span><![endif]><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'>Currently BIND multiple-view operation needs extra guidance for RFC5011. Otherwise it may have problems.<o:p></o:p></span></p><p class=MsoListParagraph style='margin-left:18.0pt;text-indent:-18.0pt;mso-list:l0 level1 lfo2'><![if !supportLists]><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'><span style='mso-list:Ignore'>2)<span style='font:7.0pt "Times New Roman"'>       </span></span></span><![endif]><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'>The manage-keys should be set for each view when the it is ceated. Especially for RFC5011, it is a MUST requirement .<o:p></o:p></span></p><p class=MsoListParagraph style='margin-left:18.0pt;text-indent:-18.0pt;mso-list:l0 level1 lfo2'><![if !supportLists]><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'><span style='mso-list:Ignore'>3)<span style='font:7.0pt "Times New Roman"'>       </span></span></span><![endif]><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'>It is recommended that in BIND implementation the new views should inherit the managed-keys from managed keys database of a existing view. It is more natural way for Multiple-view model to adapted to RFC5011. It much preferable to have a global managed keys database which follows the RFC5011’s life circle.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'>Davey <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:宋体'>发件人<span lang=EN-US>:</span></span></b><span lang=EN-US style='font-size:10.0pt;font-family:宋体'> dbgong [<a href="mailto:dbgong@biigroup.cn">mailto:dbgong@biigroup.cn</a>] <br></span><b><span style='font-size:10.0pt;font-family:宋体'>发送时间<span lang=EN-US>:</span></span></b><span lang=EN-US style='font-size:10.0pt;font-family:宋体'> 2016</span><span style='font-size:10.0pt;font-family:宋体'>年<span lang=EN-US>9</span>月<span lang=EN-US>26</span>日<span lang=EN-US> 16:52<br></span><b>收件人<span lang=EN-US>:</span></b><span lang=EN-US> ShaneKerr; Davey Song<br></span><b>抄送<span lang=EN-US>:</span></b><span lang=EN-US> yeti_maintain<br></span><b>主题<span lang=EN-US>:</span></b><span lang=EN-US> Yeti KSK rollover: resolver BIND9 issue<br></span><b>重要性<span lang=EN-US>:</span></b><span lang=EN-US> </span>高<span lang=EN-US><o:p></o:p></span></span></p></div></div><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>Hi Davey and  Shane,<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>One of our recursive server(REC1, BIND9)  have problems after the revoke action.<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>Before the revoke action  REC1 have three views.<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>the configuration of REC1:<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>options {<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>    #...<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>    dnssec-enable yes; <br>   dnssec-validation yes; <br>    dnssec-lookaside no;<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>};<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>view secondfloor {#xxx};<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>view yyy {};<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>view zzz {};<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>managed-keys {<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>. initial-key 257 3 8 "AwEAAaP3gGQ4db0tAiDEky0dcUNGeI1aTDYP5NFxzhbd pD60ZhKLVV4KyxPmoSNUpq5Fv5M0iBwK1Tyswsyq/9sM SoZ8zx8aT3ho1YnPsSqQeJfjTT1WsX6YZ5Kw6B2QkjRN a6OMGZ96Kn8AI/slqsw+z8hY49Sn3baeo9iJxHPzloNc 2dQkW4aLqzNEYxnuoJsthCfGrPSAXlUjY9m3YKIaEWR5 WFYQk770fT+gGWLk/54Vp0sG+Lw75JZnwhDhixPFaToT DNqbHQmkEylq1XJLO15uZ/+RZNRfTXZKO4fVR0tMEbMAITqRmyP8xLXY4RXbS4J32gnenQbzABX8sQmwO7s="; <o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>};<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>REC1 works well after <span style='background:white'>the revoke action.</span><o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black;background:white'>But when we add another three views at 2016-09-12.</span><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>There are some servfails, about 3-5/qps.<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black;background:white'>Then I checked the managed-keys, and I found that the new added view which don't have valid managed-keys.</span><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black;background:white'>And the view created be for KSK rollover have valid managed-keys.</span><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>eg, view <span style='background:white'>secondfloor which is created before the KSK rollover.</span><o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>$echo -n <span style='background:white'>secondfloor</span>|sha256sum <o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>b1629b86416e2208ce2492ea462475f77141a2c785e53d8cd64dbf9dabe9f01f - <br>$ cat b1629b86416e2208ce2492ea462475f77141a2c785e53d8cd64dbf9dabe9f01f.mkeys <br>$ORIGIN . <br>$TTL 0 ; 0 seconds <br>@ IN SOA . . ( <br>6490 ; serial <br>0 ; refresh (0 seconds) <br>0 ; retry (0 seconds) <br>0 ; expire (0 seconds) <br>0 ; minimum (0 seconds) <br>) <br>KEYDATA 20160926180107 20150929074902 20160930050105 385 3 8 ( <br>AwEAAaP3gGQ4db0tAiDEky0dcUNGeI1aTDYP5NFxzhbd <br>pD60ZhKLVV4KyxPmoSNUpq5Fv5M0iBwK1Tyswsyq/9sM <br>SoZ8zx8aT3ho1YnPsSqQeJfjTT1WsX6YZ5Kw6B2QkjRN <br>a6OMGZ96Kn8AI/slqsw+z8hY49Sn3baeo9iJxHPzloNc <br>2dQkW4aLqzNEYxnuoJsthCfGrPSAXlUjY9m3YKIaEWR5 <br>WFYQk770fT+gGWLk/54Vp0sG+Lw75JZnwhDhixPFaToT <br>DNqbHQmkEylq1XJLO15uZ/+RZNRfTXZKO4fVR0tMEbMA <br>ITqRmyP8xLXY4RXbS4J32gnenQbzABX8sQmwO7s= <br>) ; revoked KSK; alg = RSASHA256; key id = 56082 <br>; next refresh: Mon, 26 Sep 2016 18:01:07 GMT <br>; trusted since: Tue, 29 Sep 2015 07:49:02 GMT <br>; removal pending: Fri, 30 Sep 2016 05:01:05 GMT <br>KEYDATA 20160926180107 20160809184103 19700101000000 257 3 8 ( <br>AwEAAbA0lBT1aDxwoNl7d/fXqFFBtL+VwBLqgOYHgAqr <br>nvhRvHs+GrTWZZ5gZu/0NeX4YGXmovT1nGpY/9oi30pD <br>vbzPluQXOKSVP/xr1KyLPp8pxiVqGe973F55fX4iQOUM <br>B2n2VXfIxSryTNYPz44Zltpa10WAVYzHpy3oxx0qZSeD <br>sdPHMNB7Ym0hBMY92cifWyQWifHbcgbFGf2mpwF00vAL <br>l92qhnvIORVZC/ihNNd7DvQtMLdUvSoQ0woC/EhqexXQ <br>v0bLlPkG55d37JoaVbWCEnWLZ+CT+Eei5U4VCqH+xCEv <br>OjT45ZQt0kfB3K4bwfh6D5EBleJ13z3pbUwBy0U= <br>) ; KSK; alg = RSASHA256; key id = 19444 <br>; next refresh: Mon, 26 Sep 2016 18:01:07 GMT <br>; trusted since: Tue, 09 Aug 2016 18:41:03 GMT <o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'> view <span style='background:white'>6plat which is created after the KSK rollover.</span><o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>$ echo -n 6plat|sha256sum <br>1369c5fe9c97ce67fa0a4b3f25e6ceb86105045569eac55db54a6e85353d030b - <br>$ cat 1369c5fe9c97ce67fa0a4b3f25e6ceb86105045569eac55db54a6e85353d030b.mkeys <br>$ORIGIN . <br>$TTL 0 ; 0 seconds <br>@ IN SOA . . ( <br>4 ; serial <br>0 ; refresh (0 seconds) <br>0 ; retry (0 seconds) <br>0 ; expire (0 seconds) <br>0 ; minimum (0 seconds) <br>) <br>KEYDATA 20160924170104 19700101000000 19700101000000 257 3 8 ( <br>AwEAAaP3gGQ4db0tAiDEky0dcUNGeI1aTDYP5NFxzhbd <br>pD60ZhKLVV4KyxPmoSNUpq5Fv5M0iBwK1Tyswsyq/9sM <br>SoZ8zx8aT3ho1YnPsSqQeJfjTT1WsX6YZ5Kw6B2QkjRN <br>a6OMGZ96Kn8AI/slqsw+z8hY49Sn3baeo9iJxHPzloNc <br>2dQkW4aLqzNEYxnuoJsthCfGrPSAXlUjY9m3YKIaEWR5 <br>WFYQk770fT+gGWLk/54Vp0sG+Lw75JZnwhDhixPFaToT <br>DNqbHQmkEylq1XJLO15uZ/+RZNRfTXZKO4fVR0tMEbMA <br>ITqRmyP8xLXY4RXbS4J32gnenQbzABX8sQmwO7s= <br>) ; KSK; alg = RSASHA256; key id = 55954 <br>; next refresh: Sat, 24 Sep 2016 17:01:04 GMT <br>; no trust <o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>There are no trust anchor for view 6plat.<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>And try dig <span style='background:white'> with '+dnssec' from client which is in view 6plat.</span><o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>I got the answer , but no AD flag.<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>at 2016-09-22,  some users in view 6plat report that they can't resolve domain name.<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>then I try dig with CD option,  then got answers, but without CD option, got SERVFAIL.<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>and i checked dnssec log of BIND9.<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>I found some failure log:<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>22-Sep-2016 10:25:18.149 dnssec: debug 3: validating com/DS: starting<br>22-Sep-2016 10:25:18.150 dnssec: debug 3: validating com/DS: attempting positive response validation<br>22-Sep-2016 10:25:18.150 dnssec: info: validating com/DS: no valid signature found<br>22-Sep-2016 10:25:18.150 dnssec: debug 3: validating com/DS: falling back to insecurity proof<br>22-Sep-2016 10:25:18.150 dnssec: debug 3: validating com/DS: checking existence of DS at 'com'<br>22-Sep-2016 10:25:18.150 dnssec: debug 3: validating com/DS: continuing validation would lead to deadlock: aborting validation<br>22-Sep-2016 10:25:18.150 dnssec: debug 3: validating com/DS: deadlock found (create_fetch)<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>2-Sep-2016 10:25:18.833 dnssec: debug 3: validating ./NS: starting<br>22-Sep-2016 10:25:18.833 dnssec: debug 3: validating ./NS: attempting positive response validation<br>22-Sep-2016 10:25:18.833 dnssec: info: validating ./NS: no valid signature found<br>22-Sep-2016 10:25:18.833 dnssec: debug 3: validating ./NS: falling back to insecurity proof<br>22-Sep-2016 10:25:18.833 dnssec: debug 3: validating ./NS: insecurity proof failed<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>22-Sep-2016 10:25:22.996 dnssec: debug 3: validating cn/DS: starting<br>22-Sep-2016 10:25:22.996 dnssec: debug 3: validating cn/DS: attempting positive response validation<br>22-Sep-2016 10:25:22.996 dnssec: info: validating cn/DS: no valid signature found<br>22-Sep-2016 10:25:22.996 dnssec: debug 3: validating cn/DS: falling back to insecurity proof<br>22-Sep-2016 10:25:22.996 dnssec: debug 3: validating cn/DS: checking existence of DS at 'cn'<br>22-Sep-2016 10:25:22.996 dnssec: debug 3: validating cn/DS: continuing validation would lead to deadlock: aborting validation<br>22-Sep-2016 10:25:22.996 dnssec: debug 3: validating cn/DS: deadlock found (create_fetch)<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>What do you think about this behavior? BIND9 bug? or because of wrong configuration of BIND9?<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'>Regards,<o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-family:"Minion Pro Cond","serif";color:black;background:white'>---</span><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p></o:p></span></p></div><div><p class=MsoNormal><span lang=EN-US style='font-family:"Minion Pro Cond","serif";color:black;background:white'>Kevin</span><span lang=EN-US style='font-size:10.5pt;font-family:"????","serif";color:black'><o:p></o:p></span></p></div><div><div style='margin-left:7.5pt;margin-top:7.5pt;margin-right:7.5pt;margin-bottom:7.5pt'><p class=MsoNormal style='line-height:15.75pt'><span lang=EN-US style='font-size:10.5pt;font-family:"Microsoft YaHei UI","sans-serif";color:black'><o:p> </o:p></span></p></div></div></div></body></html>