<div dir="ltr">Cathy, <div style>  Thank you for your comments.  I will continue to investigate, it helps to have avenues to look down though.  </div><div style><br></div><div style>As far as build version, we are aware that we aren't at current stable release.  However we've tried to stick to the distro release as much as possible, to help streamline patching.  But if this continues to be an issue, it's something we will definitely consider.</div>
<div style><br></div><div style>The thing that's strange to me, is that we can mostly alleviate the symptoms, by using a forwarder.  Currently I'm using an internal Windows 2003 server in the same subnet, on the same switch, to forward through, however I was previously using 8.8.8.8, and it was behaving well too.  It seems to happen worst when simply using the root hints.</div>
<div style><br></div><div style>Rndc recursing doesn't seem to be much help.  The queries are all over, including google, adobe, amazon, microsoft, etc, as a combination of A/AAAA/PTR/TXT records, from a variety of different clients on different subnets and in different firewall zones.   At a glance, I don't see any correlation.</div>
<div style><br></div><div style>Again, I'll keep investigating, and appreciate all the input!</div><div style><br></div><div style>Jason  </div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Mar 25, 2014 at 12:34 PM, Cathy Almond <span dir="ltr"><<a href="mailto:cathya@isc.org" target="_blank">cathya@isc.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">Packet tracing and/or looking at rndc recursing is good - then you'll<br></div>
see which client queries are waiting for answers from authoritative servers.<br>
<br>
Depending on what you've upgraded from, this might be a problem with<br>
whether or not your infrastructure can handle EDNS0 and large packet<br>
sizes.  Newer version of BIND set the DO bit by default on the iterative<br>
queries, so perhaps some servers are sending back larger response than<br>
you were receiving before.  It's worth checking that your network<br>
infrastructure can handle both EDNS0 and large UDP packet sizes (and DNS<br>
queries via TCP of course too).  See<br>
<a href="https://www.dns-oarc.net/oarc/services/replysizetest" target="_blank">https://www.dns-oarc.net/oarc/services/replysizetest</a><br>
<br>
I should also comment that the distro BIND 9.8 that you're using isn't<br>
the current ISC version, so you're missing-out on recent fixes - you<br>
might be better off with a self-build of 9.8.7-W1 or 9.8.5-W1:<br>
<a href="http://www.isc.org/downloads/" target="_blank">http://www.isc.org/downloads/</a><br>
<br>
These also might be helpful:<br>
<a href="https://kb.isc.org/article/AA-00771/46/Which-version-of-BIND-do-I-want-to-download-and-install.html" target="_blank">https://kb.isc.org/article/AA-00771/46/Which-version-of-BIND-do-I-want-to-download-and-install.html</a><br>

<a href="https://kb.isc.org/article/AA-00768/46/Getting-started-with-BIND-how-to-build-and-run-named-with-a-basic-recursive-configuration.html" target="_blank">https://kb.isc.org/article/AA-00768/46/Getting-started-with-BIND-how-to-build-and-run-named-with-a-basic-recursive-configuration.html</a><br>

<br>
HTH<br>
<br>
Cathy<br>
<br>
_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div>Jason K. Brandt</div><div>Systems Administrator</div><div><br></div>
</div></div>