<div>Hey Wouter,</div><div><br></div><div>Thanks for further suggestion which is really help. intra is for sure not signed and there is no domain-incure settings.</div><div>Run dig +cdflag on client can get correct answer. </div><div><br></div><div>Once I create domain-insecure setting in unbound.conf, it works!</div><div><br></div><div>Replay the full picture:</div><div><br></div><div>Windows Server version: Windows Server 2012 R2 Standard Edition, pure clean initial installation with AD and DNS. Double DCs.</div><div>Unbound is used as DNS routing, forwarding domain which created on Windows AD and DNS.</div><div><br></div><div>The first stage, I create Windows AD with DNS and domain was set as standard model like intra.my-domain.com., at this stage, Unbound forwarding works from client point of view.</div><div>Second stage, I reinstall Windows AD with DNS and domain was set as private model like mine.intra. , at this stage, from client point of view, Unbound forwarding failed until setting domain-insecure: "mine.intra" in unbound.conf.</div><div><br></div><div>This case tells me, Windows AD set private domain into not-signed or insecure model but set standard domain into secure model by default. Which is root cause.</div><div><br></div><div><includetail><div>Thank you agin for your efficient and quick help, Wouter.</div><div><br></div><div>Cheers,</div><div><br></div><div>Adrian</div><div><br></div><div><br></div><div style="font:Verdana normal 14px;color:#000;"><div style="FONT-SIZE: 12px;FONT-FAMILY: Arial Narrow;padding:2px 0 2px 0;">------------------ Original ------------------</div><div style="FONT-SIZE: 12px;background:#efefef;padding:8px;"><div id="menu_sender"><b>From: </b> "W.C.A. Wijngaards via Unbound-users"<unbound-users@unbound.net>;</div><div><b>Date: </b> Tue, Feb 28, 2017 07:52 PM</div><div><b>To: </b> "unbound-users"<unbound-users@unbound.net>; <wbr></div><div></div><div><b>Subject: </b> Re: Unbound does not response a forwarded query</div></div><div> </div>Hi Adrian,<br><br>Looks like it could be SERVFAIL because of DNSSEC.  Is intra not signed,<br>but you don't have domain-insecure: "intra" ?  Or is there some other<br>DNSSEC failure?  dig +cdflag, or get validation error from unbound logs.<br><br>Best regards, Wouter<br><br>On 28/02/17 10:46, Adrian Zhang via Unbound-users wrote:<br>> Hey Wouter,<br>> <br>> Thanks a lot for solution. I create "." forwarding settings in<br>> unbound.conf and restart the Unbound service, unfortunately client still<br>> can not receive the response from Unbound.<br>> <br>> on client:<br>> <br>> $ dig file.mine.intra @IP_OF_Unbound                                    <br>>                                     [2270](s021){return: 0}<br>> <br>> ; <<>> DiG 9.8.3-P1 <<>> file.mine.intra @IP_OF_Unbound<br>> ;; global options: +cmd<br>> ;; Got answer:<br>> ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 20813<br>> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0<br>> <br>> ;; QUESTION SECTION:<br>> ;file.mine.intra.INA<br>> <br>> ;; Query time: 9 msec<br>> ;; SERVER: 10.3.3.6#53(10.3.3.6)<br>> ;; WHEN: Tue Feb 28 17:05:50 2017<br>> ;; MSG SIZE  rcvd: 34<br>> <br>> <br>> on Unbound server (after receive one query from client):<br>> unbound-control dump_cache|grep unicc.intra<br>> mine.intra.86200INSOAdc2.mine.intra. hostmaster.mine.intra. 65 900 600<br>> 86400 3600<br>> file.mine.intra.86095INA10.3.3.50<br>> <br>> Best,<br>> <br>> Adrian<br>>  <br>> ------------------ Original ------------------<br>> *From: * "W.C.A. Wijngaards via Unbound-users"<unbound-users@unbound.net>;<br>> *Date: * Tue, Feb 28, 2017 04:50 PM<br>> *To: * "unbound-users"<unbound-users@unbound.net>;<br>> *Subject: * Re: Unbound does not response a forwarded query<br>>  <br>> Hi Adrian,<br>> <br>> Unbound waits until the root has done.  But you do not allow these<br>> queries to be done.<br>> <br>> You can stop unbound from querying the root NS by setting a forward zone<br>> for the root (".") to somewhere.<br>> <br>> Best regards, Wouter<br>> <br>> On 28/02/17 06:16, Adrian Zhang via Unbound-users wrote:<br>>> When I check Unbound cache, it shows<br>>><br>>> unbound-control dump_cache|grep mine.intra<br>>> file.mine.intra.86387INA10.3.3.50<br>>> msg file.mine.intra. IN A 33152 1 47 1 1 0 0<br>>> file.mine.intra. IN A 0<br>>><br>>> 3 records about file.mine.intra are generated by one client query.<br>>><br>>> Adrian<br>>><br>>> ------------------ Original ------------------<br>>> *From: * "Adrian Zhang via Unbound-users"<unbound-users@unbound.net>;<br>>> *Date: * Tue, Feb 28, 2017 10:59 AM<br>>> *To: * "unbound-users"<unbound-users@unbound.net>;<br>>> *Subject: * Unbound does not response a forwarded query<br>>> <br>>> Hi there,<br>>><br>>> I am using unbound to forward mine.intra which is a private domain of<br>>> Microsoft Windows Active Directory due to DNS server on Windows server<br>>> has the record.<br>>><br>>> first of all, there is a record file.mine.intra created on DNS server on<br>>> Windows, and works for clients via running "dig file.mine.intra<br>>> @IP-OF-WINDOWS".<br>>> Second, create forward configuration in unbound.conf and restart<br>>> Unbound, details are listed below. But Unbound is not able to response<br>>> to client which run "dig file.mine.intra@IP-OF-UNBOUND"<br>>> forward-zone:<br>>>         name: "mine.intra."<br>>>         forward-addr: 10.3.3.21<br>>>         forward-addr: 10.3.3.22<br>>>         forward-first: no<br>>> (10.3.3.21 is dc1 of mine.intra, 10.3.3.22 is dc2 of mine.intra.)<br>>> Finally, I use tcpdump -w to catch packages and save to a file to see<br>>> that happens. Then using Wireshark to open capture file I get below<br>> result.<br>>> Time          source.            Dest.               Protocol.         <br>>>  Length.        Info.<br>>> 7.841795   client_ip.          Unbound_ip.     DNS                  76 <br>>>             Standard query 0xb80a A file.mine.intra<br>>> 7.842781   Unbound_ip      Windows_ip.     DNS                  87     <br>>>         Standard query 0xdece A file.mine.intra OPT<br>>> 7.843769.  ReltekU_e9:..   Broadcast         ARP                   60 <br>>>            Who has IP_OF_Unbound? Tell IP_OF_Windows<br>>> 7.843788.  ReltekU_64..    ReltekU_e9:..    ARP                   42   <br>>>          IP_OF_Unbound is at 52:54:00:64:37:c7<br>>> 7.844291.  Windows_ip.     Unbound_ip.     DNS                  103   <br>>>        Standard query response 0xdece A file.mine.intra  A  10.3.3.50 OPT<br>>> 7.844761.  Unbound_ip.     192.8.128.30.   DNS                  70     <br>>>       Standard query 0x8762 NS <ROOT> OPT<br>>><br>>> Clearly Windows response the query but Unbound do not receive it and<br>>> forward response to client, however it continually query ROOT DNS. BTW,<br>>> these is also standard private domain forwarding settings (same format<br>>> like above) in the same unbound.conf and works well, such as<br>>> my-private-domain.com forwarded to a BIND server.<br>>><br>>> Why this happens and how to make Unbound response client if query a host<br>>> in xxx.intra?<br>>><br>>> Thanks in advance.<br>>><br>>> Adrian<br>> <br>> <br>> <br><br><br><br></div><!--<![endif]--></includetail></div>