<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <br>
    <br>
    <div class="moz-cite-prefix">On 24.02.2016 12:53, Alexandre Borges
      wrote:<br>
    </div>
    <blockquote cite="mid:000001d16ef9$ea6a92a0$bf3fb7e0$@terra.com.br"
      type="cite">
      <meta http-equiv="Content-Type" content="text/html;
        charset=windows-1252">
      <meta name="Generator" content="Microsoft Word 14 (filtered
        medium)">
      <style><!--
/* Font Definitions */
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
      <div class="WordSection1">
        <p class="MsoNormal">Dear colleagues, <o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">How are you?<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">I’ve been facing a horrible problem with
          RHEL 7.2 (and Oracle Linux 7.2) when configuring IPA
          dnsforwardzone during the Active Directory integration. <o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">My configuration follows:<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal"><span lang="PT-BR">IPA Server:
            192.168.1.195 (rhel72-1.example.com)<o:p></o:p></span></p>
        <p class="MsoNormal">Win2012 (AD): 192.168.1.229
          (win2012.example.local)   <span style="font-family:Wingdings"
            lang="PT-BR">à</span> different domains!!!<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">Last command executed: <o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">[root@rhel72-1 ~]# <b>ipa dnszone-find</b><o:p></o:p></p>
        <p class="MsoNormal">  <o:p></o:p></p>
        <p class="MsoNormal">Zone name: 1.168.192.in-addr.arpa.<o:p></o:p></p>
        <p class="MsoNormal">  Active zone: TRUE<o:p></o:p></p>
        <p class="MsoNormal">  Authoritative nameserver:
          rhel72-1.example.com.<o:p></o:p></p>
        <p class="MsoNormal">  Administrator e-mail address:
          hostmaster.example.com.<o:p></o:p></p>
        <p class="MsoNormal">  <span lang="PT-BR">SOA serial:
            1456310858<o:p></o:p></span></p>
        <p class="MsoNormal"><span lang="PT-BR">  SOA refresh: 3600<o:p></o:p></span></p>
        <p class="MsoNormal"><span lang="PT-BR">  SOA retry: 900<o:p></o:p></span></p>
        <p class="MsoNormal"><span lang="PT-BR">  </span>SOA expire:
          1209600<o:p></o:p></p>
        <p class="MsoNormal">  SOA minimum: 3600<o:p></o:p></p>
        <p class="MsoNormal">  Allow query: any;<o:p></o:p></p>
        <p class="MsoNormal">  Allow transfer: none;<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">  Zone name: example.com.<o:p></o:p></p>
        <p class="MsoNormal">  Active zone: TRUE<o:p></o:p></p>
        <p class="MsoNormal">  Authoritative nameserver:
          rhel72-1.example.com.<o:p></o:p></p>
        <p class="MsoNormal">  Administrator e-mail address:
          hostmaster.example.com.<o:p></o:p></p>
        <p class="MsoNormal">  <span lang="PT-BR">SOA serial:
            1456310858<o:p></o:p></span></p>
        <p class="MsoNormal"><span lang="PT-BR">  SOA refresh: 3600<o:p></o:p></span></p>
        <p class="MsoNormal"><span lang="PT-BR">  SOA retry: 900<o:p></o:p></span></p>
        <p class="MsoNormal"><span lang="PT-BR">  </span>SOA expire:
          1209600<o:p></o:p></p>
        <p class="MsoNormal">  SOA minimum: 3600<o:p></o:p></p>
        <p class="MsoNormal">  Allow query: any;<o:p></o:p></p>
        <p class="MsoNormal">  Allow transfer: none;<o:p></o:p></p>
        <p class="MsoNormal">  Allow in-line DNSSEC signing: FALSE<o:p></o:p></p>
        <p class="MsoNormal">----------------------------<o:p></o:p></p>
        <p class="MsoNormal">Number of entries returned 2<o:p></o:p></p>
        <p class="MsoNormal">----------------------------<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">[root@rhel72-1 ~]# <b>ipa dnsconfig-show</b><o:p></o:p></p>
        <p class="MsoNormal">  Global forwarders: 8.8.8.8, 8.8.4.4<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">[root@rhel72-1 ~]# <b>ipa
            dnsforwardzone-add example.local --forwarder=192.168.1.229
            --forward-policy=only</b><o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">Server will check DNS forwarder(s).<o:p></o:p></p>
        <p class="MsoNormal">This may take some time, please wait ...<o:p></o:p></p>
        <p class="MsoNormal">ipa: WARNING: DNSSEC validation failed:
          record 'example.local. SOA' failed DNSSEC validation on server
          192.168.1.195.<o:p></o:p></p>
        <p class="MsoNormal">Please verify your DNSSEC configuration or
          disable DNSSEC validation on all IPA servers.<o:p></o:p></p>
        <p class="MsoNormal">  Zone name: example.local.<o:p></o:p></p>
        <p class="MsoNormal">  Active zone: TRUE<o:p></o:p></p>
        <p class="MsoNormal">  Zone forwarders: 192.168.1.229<o:p></o:p></p>
        <p class="MsoNormal">  Forward policy: only<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">[root@rhel72-1 ~]#  <b>ipa
            dnsforwardzone-find</b> <o:p></o:p></p>
        <p class="MsoNormal">  Zone name: example.local.<o:p></o:p></p>
        <p class="MsoNormal">  Active zone: TRUE<o:p></o:p></p>
        <p class="MsoNormal">  Zone forwarders: 192.168.1.229<o:p></o:p></p>
        <p class="MsoNormal">  Forward policy: only<o:p></o:p></p>
        <p class="MsoNormal">----------------------------<o:p></o:p></p>
        <p class="MsoNormal">Number of entries returned 1<o:p></o:p></p>
        <p class="MsoNormal">----------------------------<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal"><b>[root@rhel72-1 ~]#</b> <b>ping
            win2012.example.local<o:p></o:p></b></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal"><span style="color:red">ping: unknown host
            win2012.example.local<o:p></o:p></span></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">I’ve already rebooted the host, but it
          hasn’t worked. <o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">The same problem is happening with Oracle
          Linux 7.2. <o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">Please, could you help me, please?<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">I hope you have a nice day.<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">Alexandre Borges.<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
      </div>
    </blockquote>
    <br>
    Hello Alexandre,<br>
    <br>
    because you use .local TLD domain, it will be never DNSSEC valid
    domain, please disable DNSSEC validation on all DNS servers, as
    warning from dnsforwardzone-add suggested.<br>
    <br>
    /etc/named.conf<br>
    set dnssec-validation to no<br>
    <br>
    Martin Basti<br>
    <blockquote cite="mid:000001d16ef9$ea6a92a0$bf3fb7e0$@terra.com.br"
      type="cite">
      <div class="WordSection1">
        <p class="MsoNormal"><o:p> </o:p></p>
      </div>
      <table style="border-top: 1px solid #aaabb6; margin-top: 30px;">
        <tbody>
          <tr>
            <td style="width: 105px; padding-top: 15px;"> <a
                moz-do-not-send="true"
                href="https://www.avast.com/sig-email" target="_blank"><img
                  moz-do-not-send="true"
                  src="https://ipmcdn.avast.com/images/logo-avast-v1.png"
                  style="width: 90px; height:33px;"></a> </td>
            <td style="width: 470px; padding-top: 20px; color: #41424e;
              font-size: 13px; font-family: Arial, Helvetica,
              sans-serif; line-height: 18px;">This email has been sent
              from a virus-free computer protected by Avast. <br>
              <a moz-do-not-send="true"
                href="https://www.avast.com/sig-email" target="_blank"
                style="color: #4453ea;">www.avast.com</a> </td>
          </tr>
        </tbody>
      </table>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
    </blockquote>
    <br>
  </body>
</html>