<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Fri, May 19, 2017 at 8:56 AM, Matus UHLAR - fantomas <span dir="ltr"><<a href="mailto:uhlar@fantomas.sk" target="_blank">uhlar@fantomas.sk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Gordon Messmer <<a href="mailto:gordon.messmer@gmail.com" target="_blank">gordon.messmer@gmail.com</a>> wrote:<br>
> Is it considered best-practice (or just normal) for authoritative<br>
> servers to just not use the local server for resolution?<br>
</blockquote></blockquote>
<br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
On Wed, May 10, 2017 at 5:56 AM, Tony Finch <<a href="mailto:dot@dotat.at" target="_blank">dot@dotat.at</a>> wrote:<br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Mine don't :-)<br>
</blockquote></blockquote><span class="">
<br>
On 18.05.17 16:38, Bob Harold wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
My authoritative servers are non-recursive.  They use the same DNS<br>
resolvers that any other server uses, and not themselves.<br>
</blockquote>
<br></span>
this configuration will make your recursive servers provide correct data<br>
when your customers move their domains out without telling you so (which<br>
happend quite often)...<span class="HOEnZb"><font color="#888888"><br>
-- <br>
Matus UHLAR - fantomas, <a href="mailto:uhlar@fantomas.sk" target="_blank">uhlar@fantomas.sk</a> ; <a href="http://www.fantomas.sk/" rel="noreferrer" target="_blank">http://www.fantomas.sk/</a></font></span></blockquote><div><br></div><div>Very true, and I use that fact when I know a zone is in transition.  But most of the time I have stealth slave copies (meaning not listed in NS records) on my resolvers.  </div><div>That is more complicated, and has the problem you mention, which happens often.</div><div>But it has some advantages:</div><div>Updates reaching my users more quickly, no waiting for cache timeout on the resolvers (there are still other caches, but it helps)</div><div>Cache poisoning attacks don't work against my zones on my resolvers, since they are authoritative and not cached.</div><div><br></div><div>I hope sometime to automate monitoring for zones moving without warning me in advance.</div><div><br></div><div>-- </div><div>Bob Harold</div><div><br></div></div><br></div></div>