<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-15"
 http-equiv="Content-Type">
  <title></title>
</head>
<body bgcolor="#ffffff" text="#000000">
Hi again,<br>
<br>
our nameservers now return the NXDOMAIN - Status, but now we have
further problems with nic.at because our .at - zone returns a
SOA-Record for queried zone.<br>
The configuration for zone-file "at.zone" looks like:<br>
<br>
############<br>
zone  at      dominic-zones/at.zone<br>
<br>
<br>
at.     3600    IN      SOA     rns-bind.dss. hostmaster.head.dss.
2007052100 3600 1800 3600000 600<br>
at.     86400   IN      NS      rns-bind.dss.<br>
at.     86400   IN      NS      rns-nsd.dss.<br>
############<br>
<br>
The "dig SOA"- command returns:<br>
<br>
[...]<br>
;; AUTHORITY SECTION:<br>
at.                     600     IN      SOA     rns-bind.dss.
hostmaster.head.dss. 2007052100 3600 1800 3600000 600<br>
[...]<br>
<br>
#############################################################################<br>
<br>
Furthermore i tried the root-nameserver configuration.<br>
zone .  dominic-zones/root.zone<br>
<br>
This root-zone also needs a SOA-Record for correct compilation.<br>
<br>
.                       86400   IN      SOA     A.ROOT-SERVERS.NET.
NSTLD.VERISIGN-GRS.COM. 2007070501 1800 900 604800 86400<br>
.                       459359  IN      NS      F.ROOT-SERVERS.NET.<br>
.                       459359  IN      NS      G.ROOT-SERVERS.NET.<br>
.                       459359  IN      NS      H.ROOT-SERVERS.NET.<br>
.                       459359  IN      NS      I.ROOT-SERVERS.NET.<br>
.                       459359  IN      NS      J.ROOT-SERVERS.NET.<br>
.                       459359  IN      NS      K.ROOT-SERVERS.NET.<br>
.                       459359  IN      NS      L.ROOT-SERVERS.NET.<br>
.                       459359  IN      NS      M.ROOT-SERVERS.NET.<br>
.                       459359  IN      NS      A.ROOT-SERVERS.NET.<br>
.                       459359  IN      NS      B.ROOT-SERVERS.NET.<br>
.                       459359  IN      NS      C.ROOT-SERVERS.NET.<br>
.                       459359  IN      NS      D.ROOT-SERVERS.NET.<br>
.                       459359  IN      NS      E.ROOT-SERVERS.NET.<br>
A.ROOT-SERVERS.NET.     3600000 IN      A       198.41.0.4<br>
B.ROOT-SERVERS.NET.     3600000 IN      A       192.228.79.201<br>
C.ROOT-SERVERS.NET.     3600000 IN      A       192.33.4.12<br>
D.ROOT-SERVERS.NET.     3600000 IN      A       128.8.10.90<br>
E.ROOT-SERVERS.NET.     3600000 IN      A       192.203.230.10<br>
F.ROOT-SERVERS.NET.     3600000 IN      A       192.5.5.241<br>
G.ROOT-SERVERS.NET.     3600000 IN      A       192.112.36.4<br>
H.ROOT-SERVERS.NET.     3600000 IN      A       128.63.2.53<br>
I.ROOT-SERVERS.NET.     3600000 IN      A       192.36.148.17<br>
J.ROOT-SERVERS.NET.     3600000 IN      A       192.58.128.30<br>
K.ROOT-SERVERS.NET.     3600000 IN      A       193.0.14.129<br>
L.ROOT-SERVERS.NET.     3600000 IN      A       198.32.64.12<br>
M.ROOT-SERVERS.NET.     3600000 IN      A       202.12.27.33<br>
<br>
Is this a correct root-zone file for NSD? I did not found any examples
on the net.<br>
<br>
<br>
Is it possible to configure the nameserver, that he does not return
this SOA? <br>
<br>
<br>
Best regards,<br>
Irenäus <br>
<br>
<br>
<br>
<blockquote cite="mid:20070613224605.GA24241@denics7.denic.de"
 type="cite">
  <pre wrap="">On Wed, Jun 13, 2007 at 06:26:00PM +0200, Irenäus Becker wrote:

  </pre>
  <blockquote type="cite">
    <pre wrap="">Nic.at now checks all nameserver for existing entries for affected zone. 
If all nameservers return a NXDOMAIN (Bind) everything is fine.
Our NSD nameservers return the status SERVFAIL. Nic.at interprets this 
return-code as an error and does not finish this transaction completely.
    </pre>
  </blockquote>
  <pre wrap=""><!---->
I haven't checked your view of nic.at's policies and/or procedures and would
appreciate a comment from AT. That said, ...

  </pre>
  <blockquote type="cite">
    <pre wrap="">Is it possible to return a NXDOMAIN instead of a SERVFAIL? Are there 
    </pre>
  </blockquote>
  <pre wrap=""><!---->
... SERVFAIL is probably the more protocolly correct response but not the only
possible one.
Some scenarios are listed in <draft-koch-dns-unsolicited-queries-01.txt>

  </pre>
  <blockquote type="cite">
    <pre wrap="">different  possibilities how this point can be resolved?
    </pre>
  </blockquote>
  <pre wrap=""><!---->
If you really need to respond NXDOMAIN (and again, I'm not saying you do),
one approach is to define an empty (lest the served delegations) parent TLD
(here: AT) zone on your server(s). But careful: there may be side effects
and you should make sure not to leak false information.  The bottom line is:
if the problem exists, it can be solved by configuration, not by teaching
nsd to violate the protocol.

-Peter


  </pre>
</blockquote>
<br>
</body>
</html>