<div dir="ltr">Thanks for the clarification. Regards<br></div><div class="gmail_extra"><br><div class="gmail_quote">2016-10-20 14:23 GMT-04:00 Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On to, 20 loka 2016, Carlos Raúl Laguna wrote:<br>
</span><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi Alexander,<br>
I do belive is a DNS problem, the command failing are<br>
<br>
host -t srv _ldap._tcp.ad_domain<br>
or<br>
dig SRV _ldap._tcp.ad_domain<br>
after checkig the logs a see this error<br>
"no valid DS resolving '_ldap._tcp.ad_domain /SRV/IN': 10.20.4.22#53"<br>
<br>
so i disable the dnssec validation on IPA and it work as expected, i will<br>
setup dnssec on the windows side and enable dns validation once more on IPA<br>
to see if can get the same outcome.<br>
</blockquote></span>
When you use DNSSEC validation, your DNS infrastructure should all be<br>
using DNSSEC. This does not depend on whether you are deploying trust to<br>
AD or not.<br>
<br>
In fact, when installing FreeIPA server, you have option to disable<br>
DNSSEC validation (ipa-server-install --no-dnssec-validation). The same<br>
option exists in ipa-dns-install.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div>