<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <p><br>
    </p>
    <br>
    <div class="moz-cite-prefix">On 13.04.2017 22:50, Dan Dietterich
      wrote:<br>
    </div>
    <blockquote
      cite="mid:C5D3ACB3-F09D-46E0-AE81-B0303E7D94D6@cazena.com"
      type="cite">
      <meta http-equiv="Content-Type" content="text/html;
        charset=windows-1252">
      <meta name="Title" content="">
      <meta name="Keywords" content="">
      <meta name="Generator" content="Microsoft Word 15 (filtered
        medium)">
      <style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:Calibri;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:Calibri;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:Calibri;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style>
      <div class="WordSection1">
        <p class="MsoNormal"><span style="font-size:11.0pt">I am seeing
            inconsistent results configuring a DNS forward zone.<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt">At a bash
            prompt, as root, after kinit admin, I do:<o:p></o:p></span></p>
        <p class="MsoNormal" style="text-indent:.5in"><span
            style="font-size:11.0pt;font-family:Courier">ipa
            dnsforwardzone-add domain.internal  --forwarder= ww.xx.yy.zz
            --forward-policy=only<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt">That works
            fine and does not warn about DNSSEC.<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt">In a Java
            webapp running as root under a Jetty, I run a shell
            sub-process and issue the kinit and the same ipa statement.<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt">_<i>Sometimes</i>_,
            I get <o:p>
            </o:p></span></p>
        <p class="MsoNormal" style="text-indent:.5in"><span
            style="font-size:11.0pt;font-family:Courier">ipa: WARNING:
            DNSSEC validation failed: record 'domain.internal. SOA'
            failed DNSSEC validation on server ww.xx.yy.zz.<o:p></o:p></span></p>
        <p class="MsoNormal" style="text-indent:.5in"><span
            style="font-size:11.0pt;font-family:Courier">Please verify
            your DNSSEC configuration or disable DNSSEC validation on
            all IPA servers.<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt">I modified
            the /etc/named.conf file to say:<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt">               
          </span><span style="font-size:11.0pt;font-family:Courier">dnssec-enable
            no;<o:p></o:p></span></p>
        <p class="MsoNormal"><span
            style="font-size:11.0pt;font-family:Courier">     
            dnssec-validation no;<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt">and </span><span
            style="font-size:11.0pt;font-family:Courier">systemctl
            restart ipa</span><span style="font-size:11.0pt"><o:p></o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt">Any clue why
            the results are different?<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt">ipa
            –version: VERSION: 4.4.0, API_VERSION: 2.213<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt">Linux …
            3.10.0-514.10.2.el7.x86_64 #1 SMP Fri Mar 3 00:04:05 UTC
            2017 x86_64 x86_64 x86_64 GNU/Linux<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt">Thanks for
            any insight!<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt">Regards,<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt">Dan<o:p></o:p></span></p>
        <p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
    </blockquote>
    <br>
    Hello,<br>
    <br>
    checks are done on IPA server side, how many servers do you have? Is
    possible that CLI connects to different servers.<br>
    <br>
    However in this case, DNSSEC check should always fail and report
    error, so it is weird why it passed.<br>
    <br>
    Martin<br>
    <pre class="moz-signature" cols="72">-- 
Martin Bašti
Software Engineer
Red Hat Czech</pre>
  </body>
</html>