<div dir="ltr"><div><div><div><div><div><div><div><div><div><div>Let me be a bit more clear...<br><br></div>This is strictly internal. There are no external clients or servers involved. All three of the servers have recursion turned ON.<br><br></div>Server A has a domain (<a href="http://example.com">example.com</a>.)<br></div><a href="http://example.com">example.com</a>. has an NS record that points to server B and delegate <a href="http://child.example.com">child.example.com</a>. (yes there's really two, this is just an example)<br><br></div><div>Server B is at another company. (probably connected via some sort of IPSEC tunnel)<br><br></div>Server C has a slave copy of <a href="http://example.com">example.com</a>. from server A (and the associated NS record delegating <a href="http://child.example.com">child.example.com</a>. to server B)<br></div>Server C is at another site at the same company as server A<br><br></div>Currently, clients sending queries for domain <a href="http://child.example.com">child.example.com</a>. to server A get good results.<br></div>However, clients sending queries for domain <a href="http://child.example.com">child.example.com</a>. to server C get SERVFAIL because server C has no access to server B. (I'm guessing there is a firewall issue)<br><br></div>The question is if I get rid of the delegation and put in a stub zone on server A pointing to <a href="http://child.example.com">child.example.com</a>. on server B, can I use forwarders for <a href="http://child.example.com">child.example.com</a>. on server C to point at server A for resolution of <a href="http://child.example.com">child.example.com</a>.? (Will server A get answers directly from server B or will server A simply refer me to server B?)<br><br></div>Hope that's clearer.<br><br></div>Bob<br><div><div><div><div><div><br></div></div></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Aug 11, 2016 at 11:52 AM, Matthew Pounsett <span dir="ltr"><<a href="mailto:matt@conundrum.com" target="_blank">matt@conundrum.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote"><span class="">On 11 August 2016 at 09:13, Bob McDonald <span dir="ltr"><<a href="mailto:bmcdonaldjr@gmail.com" target="_blank">bmcdonaldjr@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div>I have a child domain that is delegated to a second site. Pretty straightforward situation. In the parent zone I have NS records that point to the DNS servers at the second site.<br><br></div>The issue comes up when a slaved copy of the parent domain is running at a third site and that third site doesn't have a rule in their firewall allowing DNS access to the second site (where the child domain is delegated).<br><br></div>The question is this; can I use stub zones to reference the child domain on the master server (instead of delegation) and the use forwarding at the third site to direct queries for the child domain through the master server? <br><br></div>I hope the picture I've tried to describe is somewhat clear.<br></div></div></div></blockquote><div><br></div></span><div>If the setup is exactly as you describe, then there's probably no reason for a name server authoritative for the parent zone to ever need to contact a server authoritative for the child zone.  Delegation from A to B doesn't imply direct communication between A and B.  </div><div><br></div><div>That said, you never know where on the Internet queries for a zone will arrive from.  If you want the Internet at large to be able to resolve names in your zone, then you can't firewall yourself off from parts of the Internet.</div><div><br></div><div>If any of the servers in this scenario are also acting as recursive servers, then you have the same problem;  you never know where on the Internet an authoritative server you need to speak to is going to be, so you can't firewall your recursive server off from speaking to parts of the Internet and expect it to work reliably.</div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><br></div>Regards,<br><br></div>Bob<br></div>
<br>______________________________<wbr>_________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/<wbr>listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/<wbr>listinfo/bind-users</a><br></blockquote></div><br></div></div>
</blockquote></div><br></div>