<font size=2 face="sans-serif">        We
have just enabled RPZ with some NSDNAME checks and are seeing an issue
resolving </font><a href=www.rackspace.com><font size=2 face="sans-serif">www.rackspace.com</font></a><font size=2 face="sans-serif">.</font>
<br>
<br><font size=2 face="sans-serif">        The
first lookup is successful and returns both the CNAME and the A record.
 The second query, within a second of the first, will only return
the CNAME.  It will only return the CNAME until the TTL of the A record
times out.  The first query, when it actually has to go out and do
recursion will always work.   Answering from cache will always fail.
    When you inspect the cache during the time that it is only
returning the CNAME, the record in cache is "</font><a href=www.wip.rackspace.com><font size=2 face="sans-serif">www.wip.rackspace.com</font></a><font size=2 face="sans-serif">
 type ANY NXDOMAIN".    This only happens with RPZ's
enabled and query hitting a RPZ zone with a NSDNAME line.   Turning
off RPZ or whitelisting the lookup via RPZ before it hits a RPZ with NSDNAME
allows the query to be successful 100% of the time.</font>
<br>
<br>
<br><font size=2 face="sans-serif">        Can
anyone else verify this behavior?   What is going on with </font><a href=www.rackspace.com?><font size=2 face="sans-serif">www.rackspace.com?</font></a><font size=2 face="sans-serif">
  If this is a miss configuration on Rackspace's DNS servers how are
they not getting hit with support calls like crazy?</font>
<br>
<br>
<br>
<br><font size=2 face="sans-serif">dig @redacted.cat.com </font><a href=www.rackspace.com><font size=2 face="sans-serif">www.rackspace.com</font></a>
<br>
<br><font size=2 face="sans-serif">; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6
<<>> @redacted.cat.com </font><a href=www.rackspace.com><font size=2 face="sans-serif">www.rackspace.com</font></a>
<br><font size=2 face="sans-serif">; (1 server found)</font>
<br><font size=2 face="sans-serif">;; global options: +cmd</font>
<br><font size=2 face="sans-serif">;; Got answer:</font>
<br><font size=2 face="sans-serif">;; ->>HEADER<<- opcode:
QUERY, status: NOERROR, id: 30337</font>
<br><font size=2 face="sans-serif">;; flags: qr rd ra; QUERY: 1, ANSWER:
2, AUTHORITY: 0, ADDITIONAL: 0</font>
<br>
<br><font size=2 face="sans-serif">;; QUESTION SECTION:</font>
<br><font size=2 face="sans-serif">;</font><a href=www.rackspace.com><font size=2 face="sans-serif">www.rackspace.com</font></a><font size=2 face="sans-serif">.
            IN      A</font>
<br>
<br><font size=2 face="sans-serif">;; ANSWER SECTION:</font>
<br><a href=www.rackspace.com><font size=2 face="sans-serif">www.rackspace.com</font></a><font size=2 face="sans-serif">.
     300     IN      CNAME  
</font><a href=www.wip.rackspace.com><font size=2 face="sans-serif">www.wip.rackspace.com</font></a><font size=2 face="sans-serif">.</font>
<br><a href=www.wip.rackspace.com><font size=2 face="sans-serif">www.wip.rackspace.com</font></a><font size=2 face="sans-serif">.
 30      IN      A      
173.203.44.116</font>
<br>
<br><font size=2 face="sans-serif">;; Query time: 193 msec</font>
<br><font size=2 face="sans-serif">;; SERVER: redacted</font>
<br><font size=2 face="sans-serif">;; WHEN: Wed May  7 08:53:08 2014</font>
<br><font size=2 face="sans-serif">;; MSG SIZE  rcvd: 73</font>
<br>
<br>
<br>
<br><font size=2 face="sans-serif">dig @redacted.cat.com </font><a href=www.rackspace.com><font size=2 face="sans-serif">www.rackspace.com</font></a>
<br>
<br><font size=2 face="sans-serif">; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6
<<>> @redacted.cat.com </font><a href=www.rackspace.com><font size=2 face="sans-serif">www.rackspace.com</font></a>
<br><font size=2 face="sans-serif">; (1 server found)</font>
<br><font size=2 face="sans-serif">;; global options: +cmd</font>
<br><font size=2 face="sans-serif">;; Got answer:</font>
<br><font size=2 face="sans-serif">;; ->>HEADER<<- opcode:
QUERY, status: NXDOMAIN, id: 25905</font>
<br><font size=2 face="sans-serif">;; flags: qr rd ra; QUERY: 1, ANSWER:
1, AUTHORITY: 1, ADDITIONAL: 0</font>
<br>
<br><font size=2 face="sans-serif">;; QUESTION SECTION:</font>
<br><font size=2 face="sans-serif">;</font><a href=www.rackspace.com><font size=2 face="sans-serif">www.rackspace.com</font></a><font size=2 face="sans-serif">.
            IN      A</font>
<br>
<br><font size=2 face="sans-serif">;; ANSWER SECTION:</font>
<br><a href=www.rackspace.com><font size=2 face="sans-serif">www.rackspace.com</font></a><font size=2 face="sans-serif">.
     298     IN      CNAME  
</font><a href=www.wip.rackspace.com><font size=2 face="sans-serif">www.wip.rackspace.com</font></a><font size=2 face="sans-serif">.</font>
<br>
<br><font size=2 face="sans-serif">;; AUTHORITY SECTION:</font>
<br><font size=2 face="sans-serif">wip.rackspace.com.      58
     IN      SOA     www-gtm-ord1.rackspace.com.
hostmaster.305181-GTM1.rackspace.com. 86 10800 3600 604800 60</font>
<br>
<br><font size=2 face="sans-serif">;; Query time: 2 msec</font>
<br><font size=2 face="sans-serif">;; SERVER: redacted</font>
<br><font size=2 face="sans-serif">;; WHEN: Wed May  7 08:53:10 2014</font>
<br><font size=2 face="sans-serif">;; MSG SIZE  rcvd: 129</font>
<br>
<br>
<br><font size=5 color=blue><b>David A. Evans</b></font>
<br><font size=3><b>Enterprise IP/DNS Management</b></font>
<br><font size=3><b>Network Infrastructure Tools and Services</b></font>
<br><a href=mailto:Evans_David_A@cat.com><font size=3 color=blue><b><u>Evans_David_A@cat.com</u></b></font></a>