<div dir="ltr"><div><div><div><div><div>> Your problem here is not directly related to the delegation.  Your 
problem is that you have a recursive server (C) which is blocked from 
reaching a part of the Internet<br>> where there is an authoritative server 
(B) it needs to contact.<br><br></div>I thought I had said that...<br><br>> That's a very convoluted way of fixing what is simply a bug in your firewall configuration.<br><br></div>Maybe. Perhaps I don't have direct control over the firewalls and it will take a (sometimes extended) period of time to get them changed. Perhaps I'm looking for a temporary solution.<br><br></div>I'm just looking for an answer as to whether or not this might work. I'm ok either way. Just curious.<br><br></div>Thanks for the replies. <br><br></div>Bob <br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Aug 11, 2016 at 12:21 PM, Matthew Pounsett <span dir="ltr"><<a href="mailto:matt@conundrum.com" target="_blank">matt@conundrum.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote"><span class="">On 11 August 2016 at 10:14, Bob McDonald <span dir="ltr"><<a href="mailto:bmcdonaldjr@gmail.com" target="_blank">bmcdonaldjr@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><div><div><div><div><div><br></div></div></div></div></div></div>Currently, clients sending queries for domain <a href="http://child.example.com" target="_blank">child.example.com</a>. to server A get good results.<br></div>However, clients sending queries for domain <a href="http://child.example.com" target="_blank">child.example.com</a>. to server C get SERVFAIL because server C has no access to server B. (I'm guessing there is a firewall issue)<br></div></div></div></div></blockquote><div><br></div></span><div>Your problem here is not directly related to the delegation.  Your problem is that you have a recursive server (C) which is blocked from reaching a part of the Internet where there is an authoritative server (B) it needs to contact.  </div><div><br></div><div>If these servers are not listed in the stub resolvers of systems as their local recursors, then turn off recursion on the servers.  Otherwise, open up your firewall rules to allow your recursive servers to reach the entire Internet, and the entire Internet to reach your authoritative servers.</div><span class=""><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><br></div>The question is if I get rid of the delegation and put in a stub zone on server A pointing to <a href="http://child.example.com" target="_blank">child.example.com</a>. on server B, can I use forwarders for <a href="http://child.example.com" target="_blank">child.example.com</a>. on server C to point at server A for resolution of <a href="http://child.example.com" target="_blank">child.example.com</a>.? (Will server A get answers directly from server B or will server A simply refer me to server B?)<br></div></div></div></blockquote><div><br></div></span><div>That's a very convoluted way of fixing what is simply a bug in your firewall configuration.</div><div><br></div><div><br></div></div></div></div>
</blockquote></div><br></div>