<div dir="rtl"><div style="direction:ltr"><br></div><div class="gmail_extra"><div class="gmail_quote"><div dir="ltr">2014-09-22 9:29 GMT+03:00 Petr Spacek <span dir="ltr"><<a href="mailto:pspacek@redhat.com" target="_blank">pspacek@redhat.com</a>></span>:</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div style="direction:ltr">'IPA forwarders' are exactly the same as normal 'BIND forward zone' so they involve normal DNS cache. </div></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div style="direction:ltr"></div><div style="direction:ltr">Which type of forwarder do you have configured? Is your 'forwarding policy' set to 'first' (default) or 'only'?</div>
<div style="direction:ltr"><br></div></blockquote><div dir="ltr">I have default forwarding policy:</div><div dir="ltr"><br></div><div dir="ltr">[root@ipaserver1 ~]# ipa dnsconfig-show</div><div dir="ltr">  Global forwarders: 192.168.227.60</div><div dir="ltr"> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div style="direction:ltr"></div><div style="direction:ltr">Forwarding policy 'first' (combined with cache) could be the cause of your problem. 'First' policy instructs BIND to contact the configured server and if it fails (because of timeout) BIND will re-try the same query using normal recursion.</div>
<div style="direction:ltr"><br></div><div style="direction:ltr">Depending on your network configuration, the normal DNS recursion can return different results than forwarding(^1). In this case BIND can cache e.g. NXDOMAIN answer from some other server and this answer will stay in cache for TTL value in the given answer.</div>
<div style="direction:ltr"><br></div><div style="direction:ltr">As a result, IPA could get cached NXDOMAIN instead of correct SRV records for AD until the TTL in cache expires.</div>
<div style="direction:ltr"><br></div><div style="direction:ltr">This is of course a wild guess. Detailed logs from named (log level 5 or higher+querylog) could tell us what exactly happened.</div>
<div style="direction:ltr"><br></div></blockquote><div dir="ltr"><br></div><div dir="ltr">This the named log after i increased the debug level to 5 and enabled querylog:</div><div dir="ltr"><br></div><div dir="ltr"><a href="https://gist.github.com/anonymous/89308cbca3b07252674c">https://gist.github.com/anonymous/89308cbca3b07252674c</a> </div><div dir="ltr"> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div style="direction:ltr"></div><div style="direction:ltr">Have a nice day!</div>
<div style="direction:ltr"><br></div><div style="direction:ltr">(^1) I would argue that this points to a flaw in network configuration...</div>
<div style="direction:ltr"><br></div></blockquote><div> </div><div dir="ltr">The test involvement is just bunch of VMs in NAT configurations.  </div><div dir="ltr"><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div style="direction:ltr"></div><div style="direction:ltr">Petr^2 Spacek</div><div class=""><div class="h5"><div style="direction:ltr"><br></div></div></div></blockquote><div><br></div><div dir="ltr">Thank you for the help. </div></div></div></div>