<div dir="ltr"><p>Hi,</p>
<p>I have just installed pdns and pdns-recursor on a server in secondary
 site. The primary site is using CentOS 7 bind to host private DNS.</p>
<p>I am trying to create a forwarding DNS from bind to pdns in primary 
site. For example, when I query the primary DNS (1.2.3.4), it will 
forward certain domains to secondary DNS.</p>
<p>The zone file for bind have this:</p>
<p>zone "<a href="http://myown.com">myown.com</a>" IN {<br>
        type forward;<br>
        forward only;<br>
        forwarders { 10.10.10.10; };<br>
};<br>
</p>
<p>However, due to DNSSEC it is not resolving the zone. It will work if I
 disable DNSSEC in bind. I have already enable DNSSEC for <a href="http://myown.com">myown.com</a> in 
pdns but it still giving error from bind.</p>
<p>Apr 18 16:15:50 kdns named[25128]: validating <a href="http://www.myown.com/A">www.myown.com/A</a>: no valid signature found<br>
Apr 18 16:15:50 kdns named[25128]: validating <a href="http://www.myown.com/A">www.myown.com/A</a>: bad cache hit (<a href="http://www.myown.com/DS">www.myown.com/DS</a>)<br>
Apr 18 16:15:50 kdns named[25128]: broken trust chain resolving '<a href="http://www.myown.com/A/IN">www.myown.com/A/IN</a>': 10.10.10.10#53<br>
  <br>
I am stumped on how to resolve this. Been searching online for whole day already but unable to find solution.</p>
<p>If I disable the DNS in BIND; <br>
</p>
<p>dnssec-enable no;<br>
dnssec-validation no;</p>
<p>It will work.</p>
<p>nslookup <a href="http://www.myown.com">www.myown.com</a> localhost<br>
Server:         localhost<br>
Address:        127.0.0.1#53<br>
  <br>
Non-authoritative answer:<br>
Name:   <a href="http://www.myown.com">www.myown.com</a><br>
Address: 1.1.2.2<br>
  <br>
</p>
<p>Would highly appreciate any help or suggestions.<br>
</p>
<p>Thanks.<br>
</p>
<div class="gmail-moz-signature"></div></div>