DNSSEC and Request Routing for internal DNS Zone

Hi Tobi,

sorry that I didn't read your first post carefully..and a really big thank you for repoting back, because now I have to correct my statment about the broken security chain, when the first DNS Server is not DNSSEC enabled and therefore does not vailidate even if the DNS server, the request is forwarded to, is DNSSEC enabled. So this ist not true!

I also had the "use root zones when forwarding fails" enabled and this was the culprit of why I always got a page loaded and with that a negativ result on dnssec-failed.org.

So it seems like this, that the WIN DNS server does not get a reply to the request from the UTM (because of DNSEC validation on the UTM). It therefore seems for the WIN DNS server to fail. So the WIN DNS server uses the root zone without DNSSEC vaildation in my case (not enabled in 2008 R2) and got a reply back and the page loaded.

So by disabling the "use root zone" I am also safe behind my UTM DNSSEC even if in WIN DNS it is disabled [[:)]]

Now back to your problem:

First I would try and clear DNS cache on UTM because of "bad cache hit" log (could it be, that you played a bit around with DNSEC an tried signing your zone and this got cached by the UTM? [:P] )
Second, please make sure, that there is really no DNSSEC relatet record in your internal zone. (because of your provided log entires, it seems there is something still left, and also because a new configured zone is working correctly)
Third, reload your internal zone in WIN DNS server and after that clear cache on UTM again.

Hope this helps. Please keep me informed [[:)]]

Hi Tobi,

sorry that I didn't read your first post carefully..and a really big thank you for repoting back, because now I have to correct my statment about the broken security chain, when the first DNS Server is not DNSSEC enabled and therefore does not vailidate even if the DNS server, the request is forwarded to, is DNSSEC enabled. So this ist not true!

I also had the "use root zones when forwarding fails" enabled and this was the culprit of why I always got a page loaded and with that a negativ result on dnssec-failed.org.

So it seems like this, that the WIN DNS server does not get a reply to the request from the UTM (because of DNSEC validation on the UTM). It therefore seems for the WIN DNS server to fail. So the WIN DNS server uses the root zone without DNSSEC vaildation in my case (not enabled in 2008 R2) and got a reply back and the page loaded.

So by disabling the "use root zone" I am also safe behind my UTM DNSSEC even if in WIN DNS it is disabled [[:)]]

Now back to your problem:

First I would try and clear DNS cache on UTM because of "bad cache hit" log (could it be, that you played a bit around with DNSEC an tried signing your zone and this got cached by the UTM? [:P] )
Second, please make sure, that there is really no DNSSEC relatet record in your internal zone. (because of your provided log entires, it seems there is something still left, and also because a new configured zone is working correctly)
Third, reload your internal zone in WIN DNS server and after that clear cache on UTM again.

Hope this helps. Please keep me informed [[:)]]