<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 4, 2016 at 11:12 PM, Mathew Ian Eis <span dir="ltr"><<a href="mailto:Mathew.Eis@nau.edu" target="_blank">Mathew.Eis@nau.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">




<div style="word-wrap:break-word;color:rgb(0,0,0);font-size:14px;font-family:Calibri,sans-serif">
<div style="direction:ltr;font-family:Tahoma;color:#000000;font-size:10pt">
<div>Howdy John,</div>
<div><br>
</div>
<div>Eh, I was afraid of that <sad> let me try again.</div>
<div><br>
</div>
<div>Can something like this:</div>
<div><br>
</div>
<div>[ internal recursive resolver + non-authoritative slave for <a href="http://foo.edu" target="_blank">foo.edu</a> ] <-> [ internal authoritative slave for <a href="http://foo.edu" target="_blank">foo.edu</a> ] <-> [ internal hidden master for <a href="http://foo.edu" target="_blank">foo.edu</a> | external hidden master for <a href="http://foo.edu" target="_blank">foo.edu</a> ] <-> [ external authoritative slave for <a href="http://foo.edu" target="_blank">foo.edu</a> / listed
 in whois ]</div>
<div><br>
</div>
<div>... be safely collapsed to this:</div>
<div><br>
</div>
<div>[ internal recursive resolver + authoritative slave for <a href="http://foo.edu" target="_blank">foo.edu</a> ] <-> [ internal hidden master for <a href="http://foo.edu" target="_blank">foo.edu</a> | external hidden master for <a href="http://foo.edu" target="_blank">foo.edu</a> ] <-> [ external authoritative slave for <a href="http://foo.edu" target="_blank">foo.edu</a> / listed in whois ]</div>
<div><br>
</div>
<div>... or this *shudder*:</div>
<div><br>
</div>
<div>
<div>[ internal recursive resolver + non-authoritative slave for <a href="http://foo.edu" target="_blank">foo.edu</a> ] <-> [ internal hidden master for <a href="http://foo.edu" target="_blank">foo.edu</a> | external hidden master for <a href="http://foo.edu" target="_blank">foo.edu</a> ] <-> [ external authoritative slave for <a href="http://foo.edu" target="_blank">foo.edu</a> / listed in whois ]</div>
</div>
<div><br>
</div>
<div>The first case seems like it is wasting N copies of [ internal authoritative slave for <a href="http://foo.edu" target="_blank">foo.edu</a> ] that aren't ever used for anything except dynamic updates (and not even that if you don't allow it, so possibly literally sitting idle).</div>
<div><br>
</div>
<div>The second case seems unsafe on the concern of cache poisoning risks, but... is it really necessary to invoke the fairly size-able case 1 to avoid cache poisoning? This feels like too much of an edge case to easily answer with Mark Andrew's comments on
 "strict separation lore".</div>
<div><br>
</div>
<div>The third case seems efficient, but ridiculous and not really possible; e.g. what would you put in the NS/SOA records to keep the master hidden and the slaves non-authoritative?</div>
<div><br>
</div>
<div>Thanks again,</div>
<div><br>
</div>
<div>-Mathew Eis</div>
<div><br>
</div>
<div style="font-family:Times New Roman;color:#000000;font-size:16px">
</div></div></div></blockquote></div><br></div><div class="gmail_extra">A slave server has a copy of the zone, so it is by definition "authoritative".  I think what you mean by "non-authoritative slave" is "hidden slave" - not listed in NS records.  I see no advantage of 3 over 2, you need some server listed in the NS and SOA records.  2 should work fine.  </div><div class="gmail_extra"><br></div><div class="gmail_extra">-- </div><div class="gmail_extra">Bob Harold</div><div class="gmail_extra"><br></div></div>