<html>
<head>
<meta content="text/html; charset=windows-1252"
http-equiv="Content-Type">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<br>
<br>
<div class="moz-cite-prefix">On 24.02.2016 12:53, Alexandre Borges
wrote:<br>
</div>
<blockquote cite="mid:000001d16ef9$ea6a92a0$bf3fb7e0$@terra.com.br"
type="cite">
<meta http-equiv="Content-Type" content="text/html;
charset=windows-1252">
<meta name="Generator" content="Microsoft Word 14 (filtered
medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:Wingdings;
panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
{font-family:Wingdings;
panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri","sans-serif";
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri","sans-serif";}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
<div class="WordSection1">
<p class="MsoNormal">Dear colleagues, <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">How are you?<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I’ve been facing a horrible problem with
RHEL 7.2 (and Oracle Linux 7.2) when configuring IPA
dnsforwardzone during the Active Directory integration. <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">My configuration follows:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span lang="PT-BR">IPA Server:
192.168.1.195 (rhel72-1.example.com)<o:p></o:p></span></p>
<p class="MsoNormal">Win2012 (AD): 192.168.1.229
(win2012.example.local) <span style="font-family:Wingdings"
lang="PT-BR">à</span> different domains!!!<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Last command executed: <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">[root@rhel72-1 ~]# <b>ipa dnszone-find</b><o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">Zone name: 1.168.192.in-addr.arpa.<o:p></o:p></p>
<p class="MsoNormal"> Active zone: TRUE<o:p></o:p></p>
<p class="MsoNormal"> Authoritative nameserver:
rhel72-1.example.com.<o:p></o:p></p>
<p class="MsoNormal"> Administrator e-mail address:
hostmaster.example.com.<o:p></o:p></p>
<p class="MsoNormal"> <span lang="PT-BR">SOA serial:
1456310858<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="PT-BR"> SOA refresh: 3600<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="PT-BR"> SOA retry: 900<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="PT-BR"> </span>SOA expire:
1209600<o:p></o:p></p>
<p class="MsoNormal"> SOA minimum: 3600<o:p></o:p></p>
<p class="MsoNormal"> Allow query: any;<o:p></o:p></p>
<p class="MsoNormal"> Allow transfer: none;<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> Zone name: example.com.<o:p></o:p></p>
<p class="MsoNormal"> Active zone: TRUE<o:p></o:p></p>
<p class="MsoNormal"> Authoritative nameserver:
rhel72-1.example.com.<o:p></o:p></p>
<p class="MsoNormal"> Administrator e-mail address:
hostmaster.example.com.<o:p></o:p></p>
<p class="MsoNormal"> <span lang="PT-BR">SOA serial:
1456310858<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="PT-BR"> SOA refresh: 3600<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="PT-BR"> SOA retry: 900<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="PT-BR"> </span>SOA expire:
1209600<o:p></o:p></p>
<p class="MsoNormal"> SOA minimum: 3600<o:p></o:p></p>
<p class="MsoNormal"> Allow query: any;<o:p></o:p></p>
<p class="MsoNormal"> Allow transfer: none;<o:p></o:p></p>
<p class="MsoNormal"> Allow in-line DNSSEC signing: FALSE<o:p></o:p></p>
<p class="MsoNormal">----------------------------<o:p></o:p></p>
<p class="MsoNormal">Number of entries returned 2<o:p></o:p></p>
<p class="MsoNormal">----------------------------<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">[root@rhel72-1 ~]# <b>ipa dnsconfig-show</b><o:p></o:p></p>
<p class="MsoNormal"> Global forwarders: 8.8.8.8, 8.8.4.4<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">[root@rhel72-1 ~]# <b>ipa
dnsforwardzone-add example.local --forwarder=192.168.1.229
--forward-policy=only</b><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Server will check DNS forwarder(s).<o:p></o:p></p>
<p class="MsoNormal">This may take some time, please wait ...<o:p></o:p></p>
<p class="MsoNormal">ipa: WARNING: DNSSEC validation failed:
record 'example.local. SOA' failed DNSSEC validation on server
192.168.1.195.<o:p></o:p></p>
<p class="MsoNormal">Please verify your DNSSEC configuration or
disable DNSSEC validation on all IPA servers.<o:p></o:p></p>
<p class="MsoNormal"> Zone name: example.local.<o:p></o:p></p>
<p class="MsoNormal"> Active zone: TRUE<o:p></o:p></p>
<p class="MsoNormal"> Zone forwarders: 192.168.1.229<o:p></o:p></p>
<p class="MsoNormal"> Forward policy: only<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">[root@rhel72-1 ~]# <b>ipa
dnsforwardzone-find</b> <o:p></o:p></p>
<p class="MsoNormal"> Zone name: example.local.<o:p></o:p></p>
<p class="MsoNormal"> Active zone: TRUE<o:p></o:p></p>
<p class="MsoNormal"> Zone forwarders: 192.168.1.229<o:p></o:p></p>
<p class="MsoNormal"> Forward policy: only<o:p></o:p></p>
<p class="MsoNormal">----------------------------<o:p></o:p></p>
<p class="MsoNormal">Number of entries returned 1<o:p></o:p></p>
<p class="MsoNormal">----------------------------<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><b>[root@rhel72-1 ~]#</b> <b>ping
win2012.example.local<o:p></o:p></b></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span style="color:red">ping: unknown host
win2012.example.local<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I’ve already rebooted the host, but it
hasn’t worked. <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">The same problem is happening with Oracle
Linux 7.2. <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Please, could you help me, please?<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I hope you have a nice day.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Alexandre Borges.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</blockquote>
<br>
Hello Alexandre,<br>
<br>
because you use .local TLD domain, it will be never DNSSEC valid
domain, please disable DNSSEC validation on all DNS servers, as
warning from dnsforwardzone-add suggested.<br>
<br>
/etc/named.conf<br>
set dnssec-validation to no<br>
<br>
Martin Basti<br>
<blockquote cite="mid:000001d16ef9$ea6a92a0$bf3fb7e0$@terra.com.br"
type="cite">
<div class="WordSection1">
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<table style="border-top: 1px solid #aaabb6; margin-top: 30px;">
<tbody>
<tr>
<td style="width: 105px; padding-top: 15px;"> <a
moz-do-not-send="true"
href="https://www.avast.com/sig-email" target="_blank"><img
moz-do-not-send="true"
src="https://ipmcdn.avast.com/images/logo-avast-v1.png"
style="width: 90px; height:33px;"></a> </td>
<td style="width: 470px; padding-top: 20px; color: #41424e;
font-size: 13px; font-family: Arial, Helvetica,
sans-serif; line-height: 18px;">This email has been sent
from a virus-free computer protected by Avast. <br>
<a moz-do-not-send="true"
href="https://www.avast.com/sig-email" target="_blank"
style="color: #4453ea;">www.avast.com</a> </td>
</tr>
</tbody>
</table>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
</blockquote>
<br>
</body>
</html>