encaminhador de DNS e transferência de zona para os mesmos servidores

Eu tenho um servidor de ligação em execução que é autoritativo para um domínio, digamos ab.dc.example.com e é um servidor DNS somente para encaminhamento. Ele encaminhará todos os pedidos, exceto ab.dc.example.com, para um conjunto de servidores, por exemplo.

E esse mesmo conjunto de servidores para onde encaminha a solicitação também funcionará como servidores de nomes escravos para o domínio ab.dc.example.com. Basicamente, esses servidores irão buscar atualizações de transferência de zona com tsig seguro.

Eu tenho uma configuração de transferência de zona segura para esses servidores com a instrução key em bind.

Agora, o problema é que uma transferência de zona segura está acontecendo, mas o encaminhamento normal de solicitações não está acontecendo. Se eu desabilitar a transferência de zona segura (tsig) para um dos escravo (que também é o servidor para o qual as solicitações estão sendo encaminhadas), o encaminhamento está funcionando bem.

Alguém por favor pode me ajudar?

Minhas configurações são mostradas abaixo.

zone "somedomain.com" in {
        type master;
        file "/etc/bind/zones/master.somedomain.com";
        allow-transfer { key somedomain.com; };
        allow-query { any; };
        allow-update { key somedomain.com; };
        notify yes;
};

E meu arquivo de configuração principal contendo a declaração-chave é mostrado abaixo.

key somedomain.com {
          algorithm hmac-md5;
          secret "s0G8oHowQLsdfsgdsdgsdgkngsgdslgllsdgllsdjgljlsdgjlSTWaFwp5JNaZBSN0OW4clrtHtEfFPyf3nBNY6xR+1Q==";
};
server 172.16.202.1 {
        keys {
                somedomain.com;
    };
};
server 172.16.202.2 {
        keys {
                somedomain.com;
    };
};
server 172.16.202.3 {
        keys {
                somedomain.com;
    };
};
server 172.16.202.4 {
        keys {
                somedomain.com;

};
};

E minha transferência de zona está funcionando perfeitamente com as configurações acima.Mas quando estou encaminhando outras consultas que não são autoritativas para os mesmos escravo ips (172.16.202.1,2,3,4) não sou capaz de fazê-lo.

eu tenho dnssec-enable yes; nas minhas opções named.conf.

A única coisa que posso buscar nos logs é algo como o abaixo.

;; TSIG PSEUDOSECTION:
somedomain.com 0   ANY     TSIG    hmac-md5.sig-alg.reg.int. 1380337474 300 0  22003 BADSIG 0

No entanto, posso consultar os servidores de nomes de escravo onde estou encaminhando meus pedidos manualmente usando o dig como mostrado abaixo.

dig -y 'somedomain.com:bgsdgblsnglsnglsnghlsdnghlsdnlhn==' yahoo.com @172.16.202.1

Cumprimentos Sarath