<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: arial,helvetica,sans-serif; font-size: 12pt; color: #000000'>I think this is one of those reasons why mixing caching/recursion with authoritative is bad.<div><br></div><div>I think the option needed is 'additional-from-cache no;', but its only effective if 'recursion no' is done in global options ... or in a view?</div><div><br></div><div>Hmm, wonder if view is the answer....perhaps try something like:</div><div><br></div><div>view "trusted" {</div><div>  match-clients { trusted; };</div><div>  recursion yes;</div><div>  allow-recursion { trusted; };</div><div>  #allow-query-cache is then defaulted to same match as allow-recursion</div><div>  ....</div><div>}</div><div>view "untrusted" {</div><div>  match-clients { any; }</div><div>  recursion no;</div><div>  additional-from-cache no;</div><div>  ....</div><div>}</div><div><br></div><div><br></div><div><br></div><div><hr id="zwchr"><blockquote style="border-left:2px solid #1010FF;margin-left:5px;padding-left:5px;color:#000;font-weight:normal;font-style:normal;text-decoration:none;font-family:Helvetica,Arial,sans-serif;font-size:12pt;"><br><br> acl "trusted" {<br>     xxx.xxx.xxx.0/20;<br>     xxx.xxx.xxx.0/23;<br>     xxx.xxx.xxx.0/22;<br>     xx.xxx.xxx.0/23;<br>     xx.xxx.xxx.0/23;<br>     xx.xxx.xxx.0/23;<br>     x.xx.xxx.0/21;<br>     x.xx.xx.0/24;<br>

     xxx.xxx.xxx.0/24;<br>     localhost;<br>     localnets;<br> };<br><br>options {<br>    // Relative to the chroot directory, if any<br>    directory    "/etc/namedb";<br>    pid-file    "/var/run/named/pid";<br>

    dump-file    "/var/dump/named_dump.db";<br>    statistics-file    "/var/stats/named.stats";<br>    allow-recursion { "trusted"; };<br>    allow-query    { any; };<br>    allow-query-cache { "trusted"; };<br>

<br>Its standard conf with the default stuff in it as well as a 24 zones or so in it.<br><br><br><br><div class="gmail_quote">On Wed, Jan 30, 2013 at 3:30 PM, Steven Carr <span dir="ltr"><<a href="mailto:sjcarr@gmail.com" target="_blank">sjcarr@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">So the response you received wasn't recursed ";; WARNING: recursion<br>
requested but not available", so at least that ACL is holding up, but<br>
it could be that the response you got is still being served from your<br>
DNS server's cache. Can you share the exact configuration statements<br>
you have implemented for allow-recursion and allow-query-cache and are<br>
these options in the view stanza or in the global options?<br>
<br>
Best practice is that authoritative and recursive DNS servers should<br>
be completely separate.<br>
<br>
Steve<br>
</blockquote></div><br><br clear="all"><br>-- <br>Richard Carroll<br><a href="mailto:richcarroll@gmail.com" target="_blank">richcarroll@gmail.com</a><br>785-288-1144<div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;word-wrap:break-word;color:black;font-size:10px;text-align:left;line-height:130%">

</div>
<br>_______________________________________________<br>Please visit https://lists.isc.org/mailman/listinfo/bind-users to unsubscribe from this list<br><br>bind-users mailing list<br>bind-users@lists.isc.org<br>https://lists.isc.org/mailman/listinfo/bind-users</blockquote><br><br><br>-- <br><div><span name="x"></span>Who: Lawrence K. Chen, P.Eng. - W0LKC - Senior Unix Systems Administrator<br>For: Enterprise Server Technologies (EST) -- & SafeZone Ally<br>Snail: Computing and Telecommunications Services (CTS)<br>Kansas State University, 109 East Stadium, Manhattan, KS 66506-3102<br>Phone: (785) 532-4916 - Fax: (785) 532-3515 - Email: lkchen@ksu.edu<br>Web: http://www-personal.ksu.edu/~lkchen - Where: 11 Hale Library<span name="x"></span><br></div></div></div></body></html>