Pokud použijete aktuální dig proti W2008R2, nedostanete odpověď (bind 9.11.4). Získáte ji jen když zakážete EDNS nebo cookie. Ono by vlastně i DNSSEC mělo fungovat (podle tehdejších vyjádření Microsoftu, nyní je to již bez komentáře, protože je už "jen" rozšířená podpora) a funguje jen díky dalším chybám, na které cílí workaroundy, které musíte použít, abyste alespoň mohl před W2008 dát něco, co DNSSEC umí. A ono to pak vypadá, že to funguje.