<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=iso-8859-1"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal>Dear colleagues, <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>How are you?<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I’ve been facing a horrible problem with RHEL 7.2 (and Oracle Linux 7.2) when configuring IPA dnsforwardzone during the Active Directory integration. <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>My configuration follows:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span lang=PT-BR>IPA Server: 192.168.1.195 (rhel72-1.example.com)<o:p></o:p></span></p><p class=MsoNormal>Win2012 (AD): 192.168.1.229 (win2012.example.local)   <span lang=PT-BR style='font-family:Wingdings'>ŕ</span> different domains!!!<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Last command executed: <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>[root@rhel72-1 ~]# <b>ipa dnszone-find</b><o:p></o:p></p><p class=MsoNormal>  <o:p></o:p></p><p class=MsoNormal>Zone name: 1.168.192.in-addr.arpa.<o:p></o:p></p><p class=MsoNormal>  Active zone: TRUE<o:p></o:p></p><p class=MsoNormal>  Authoritative nameserver: rhel72-1.example.com.<o:p></o:p></p><p class=MsoNormal>  Administrator e-mail address: hostmaster.example.com.<o:p></o:p></p><p class=MsoNormal>  <span lang=PT-BR>SOA serial: 1456310858<o:p></o:p></span></p><p class=MsoNormal><span lang=PT-BR>  SOA refresh: 3600<o:p></o:p></span></p><p class=MsoNormal><span lang=PT-BR>  SOA retry: 900<o:p></o:p></span></p><p class=MsoNormal><span lang=PT-BR>  </span>SOA expire: 1209600<o:p></o:p></p><p class=MsoNormal>  SOA minimum: 3600<o:p></o:p></p><p class=MsoNormal>  Allow query: any;<o:p></o:p></p><p class=MsoNormal>  Allow transfer: none;<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>  Zone name: example.com.<o:p></o:p></p><p class=MsoNormal>  Active zone: TRUE<o:p></o:p></p><p class=MsoNormal>  Authoritative nameserver: rhel72-1.example.com.<o:p></o:p></p><p class=MsoNormal>  Administrator e-mail address: hostmaster.example.com.<o:p></o:p></p><p class=MsoNormal>  <span lang=PT-BR>SOA serial: 1456310858<o:p></o:p></span></p><p class=MsoNormal><span lang=PT-BR>  SOA refresh: 3600<o:p></o:p></span></p><p class=MsoNormal><span lang=PT-BR>  SOA retry: 900<o:p></o:p></span></p><p class=MsoNormal><span lang=PT-BR>  </span>SOA expire: 1209600<o:p></o:p></p><p class=MsoNormal>  SOA minimum: 3600<o:p></o:p></p><p class=MsoNormal>  Allow query: any;<o:p></o:p></p><p class=MsoNormal>  Allow transfer: none;<o:p></o:p></p><p class=MsoNormal>  Allow in-line DNSSEC signing: FALSE<o:p></o:p></p><p class=MsoNormal>----------------------------<o:p></o:p></p><p class=MsoNormal>Number of entries returned 2<o:p></o:p></p><p class=MsoNormal>----------------------------<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>[root@rhel72-1 ~]# <b>ipa dnsconfig-show</b><o:p></o:p></p><p class=MsoNormal>  Global forwarders: 8.8.8.8, 8.8.4.4<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>[root@rhel72-1 ~]# <b>ipa dnsforwardzone-add example.local --forwarder=192.168.1.229 --forward-policy=only</b><o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Server will check DNS forwarder(s).<o:p></o:p></p><p class=MsoNormal>This may take some time, please wait ...<o:p></o:p></p><p class=MsoNormal>ipa: WARNING: DNSSEC validation failed: record 'example.local. SOA' failed DNSSEC validation on server 192.168.1.195.<o:p></o:p></p><p class=MsoNormal>Please verify your DNSSEC configuration or disable DNSSEC validation on all IPA servers.<o:p></o:p></p><p class=MsoNormal>  Zone name: example.local.<o:p></o:p></p><p class=MsoNormal>  Active zone: TRUE<o:p></o:p></p><p class=MsoNormal>  Zone forwarders: 192.168.1.229<o:p></o:p></p><p class=MsoNormal>  Forward policy: only<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>[root@rhel72-1 ~]#  <b>ipa dnsforwardzone-find</b> <o:p></o:p></p><p class=MsoNormal>  Zone name: example.local.<o:p></o:p></p><p class=MsoNormal>  Active zone: TRUE<o:p></o:p></p><p class=MsoNormal>  Zone forwarders: 192.168.1.229<o:p></o:p></p><p class=MsoNormal>  Forward policy: only<o:p></o:p></p><p class=MsoNormal>----------------------------<o:p></o:p></p><p class=MsoNormal>Number of entries returned 1<o:p></o:p></p><p class=MsoNormal>----------------------------<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><b>[root@rhel72-1 ~]#</b> <b>ping win2012.example.local<o:p></o:p></b></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span style='color:red'>ping: unknown host win2012.example.local<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I’ve already rebooted the host, but it hasn’t worked. <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>The same problem is happening with Oracle Linux 7.2. <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Please, could you help me, please?<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I hope you have a nice day.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Alexandre Borges.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p></div>
 <table style="border-top: 1px solid #aaabb6; margin-top: 30px;">
        <tr>
                <td style="width: 105px; padding-top: 15px;">
                        <a href="https://www.avast.com/sig-email" target="_blank"><img src="https://ipmcdn.avast.com/images/logo-avast-v1.png" style="width: 90px; height:33px;"/></a>
                </td>
                <td style="width: 470px; padding-top: 20px; color: #41424e; font-size: 13px; font-family: Arial, Helvetica, sans-serif; line-height: 18px;">This email has been sent from a virus-free computer protected by Avast. <br /><a href="https://www.avast.com/sig-email" target="_blank" style="color: #4453ea;">www.avast.com</a>
                </td>
        </tr>
 </table>
</body></html>