
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 14 (filtered medium)">


<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}


o\:* {behavior:url(#default#VML);}


w\:* {behavior:url(#default#VML);}


.shape {behavior:url(#default#VML);}


</style><![endif]--><style><!--


/* Font Definitions */


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:Tahoma;


        panose-1:2 11 6 4 3 5 4 4 2 4;}


@font-face


        {font-family:"Arial Black";


        panose-1:2 11 10 4 2 1 2 2 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman","serif";}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


p.MsoAcetate, li.MsoAcetate, div.MsoAcetate


        {mso-style-priority:99;


        mso-style-link:"Balloon Text Char";


        margin:0in;


        margin-bottom:.0001pt;


        font-size:8.0pt;


        font-family:"Tahoma","sans-serif";}


span.EmailStyle17


        {mso-style-type:personal-reply;


        color:black;}


span.BalloonTextChar


        {mso-style-name:"Balloon Text Char";


        mso-style-priority:99;


        mso-style-link:"Balloon Text";


        font-family:"Tahoma","sans-serif";}


.MsoChpDefault


        {mso-style-type:export-only;


        font-family:"Calibri","sans-serif";}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">The bottom line is: any resolver which is using iterative resolution (as opposed to just forwarding) to resolve names in a zone, needs to be able to talk to


 at least *<b>some</b>* of the published nameservers for the zone, or to “override” the regular referral-chain using something like a “stub” zone. But, be aware, even if you define “stub”, those queries are going to be *<b>non-recursive</b>* (RD=0), so they


 are not forwardable. In other words, you can’t stub part of the way, and forward the rest of the way. That simply doesn’t work.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">If you want to “slingshot” your resolution through another box, then really your *<b>only</b>* choice is recursive resolution, and in BIND terms, that implies


 defining one or more “forwarders”.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">That being said, it’s a terrible way to do things. The firewalls should be opened up so that nameservers can talk to each other directly. Direct nameserver-to-nameserver


 communication is the assumption upon which the DNS resolution architecture is based. Forwarding is just an ugly kludge to deal with connectivity challenges.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">Another option to consider: why don’t you make your “parent” nameservers authoritative (e.g. by setting up master/slave) for the “child” zone as well, and publish


 them in the NS records of the zone? That would be better than forwarding. If you can make them authoritative, but for some reason *<b>cannot</b>* publish them in the NS records, then at least that gets you far enough to be able to use a “stub” zone on the


 “third site”.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">                                                                                                                                                                                               


 - Kevin<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:black"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"><img width="131" height="48" id="Picture_x0020_1" src="cid:image001.jpg@01D1F3D2.A31F3C30" alt="FCA_Pantone_email"></span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"><o:p></o:p></span></p>


<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">----------------------------------------------------------------------<o:p></o:p></span></b></p>


<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Arial Black","sans-serif";color:black">Kevin Darcy</span><span style="font-size:8.0pt;font-family:"Arial","sans-serif";color:black"><br>


NAFTA Information Security Projects</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"><o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Arial Black","sans-serif";color:black">FCA US LLC<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Arial","sans-serif";color:black">1075 W Entrance Dr,<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Arial","sans-serif";color:black">Auburn Hills, MI 48326<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Arial","sans-serif";color:black">USA<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Arial","sans-serif";color:black"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Arial","sans-serif";color:black">Telephone: +1 (248) 838-6601


<br>


Mobile: +1 (810) 397-0103<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Arial","sans-serif";color:black">Email: kevin.darcy@fcagroup.com<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:black"><o:p> </o:p></span></p>


<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> bind-users [mailto:bind-users-bounces@lists.isc.org]


<b>On Behalf Of </b>Matthew Pounsett<br>


<b>Sent:</b> Thursday, August 11, 2016 12:52 PM<br>


<b>To:</b> Bob McDonald<br>


<b>Cc:</b> bind-users@isc.org<br>


<b>Subject:</b> Re: Delegation questions<o:p></o:p></span></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">On 11 August 2016 at 09:13, Bob McDonald <<a href="mailto:bmcdonaldjr@gmail.com" target="_blank">bmcdonaldjr@gmail.com</a>> wrote:<o:p></o:p></p>


<div>


<div>


<div>


<div>


<div>


<div>


<p class="MsoNormal" style="margin-bottom:12.0pt">I have a child domain that is delegated to a second site. Pretty straightforward situation. In the parent zone I have NS records that point to the DNS servers at the second site.<o:p></o:p></p>


</div>


<p class="MsoNormal" style="margin-bottom:12.0pt">The issue comes up when a slaved copy of the parent domain is running at a third site and that third site doesn't have a rule in their firewall allowing DNS access to the second site (where the child domain


 is delegated).<o:p></o:p></p>


</div>


<p class="MsoNormal" style="margin-bottom:12.0pt">The question is this; can I use stub zones to reference the child domain on the master server (instead of delegation) and the use forwarding at the third site to direct queries for the child domain through the


 master server? <o:p></o:p></p>


</div>


<p class="MsoNormal">I hope the picture I've tried to describe is somewhat clear.<o:p></o:p></p>


</div>


</div>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">If the setup is exactly as you describe, then there's probably no reason for a name server authoritative for the parent zone to ever need to contact a server authoritative for the child zone.  Delegation from A to B doesn't imply direct


 communication between A and B.  <o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">That said, you never know where on the Internet queries for a zone will arrive from.  If you want the Internet at large to be able to resolve names in your zone, then you can't firewall yourself off from parts of the Internet.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">If any of the servers in this scenario are also acting as recursive servers, then you have the same problem;  you never know where on the Internet an authoritative server you need to speak to is going to be, so you can't firewall your recursive


 server off from speaking to parts of the Internet and expect it to work reliably.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal"> <o:p></o:p></p>


</div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">


<div>


<div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<p class="MsoNormal" style="margin-bottom:12.0pt">Regards,<o:p></o:p></p>


</div>


<p class="MsoNormal">Bob<o:p></o:p></p>


</div>


<p class="MsoNormal"><br>


_______________________________________________<br>


Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">


https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>


<br>


bind-users mailing list<br>


<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>


<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><o:p></o:p></p>


</blockquote>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


</div>


</div>


</body>


</html>