<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <p>Hello,</p>
    <div class="moz-cite-prefix">On 4/7/2021 10:35 AM, Matus UHLAR -
      fantomas wrote:<br>
    </div>
    <blockquote type="cite"
      cite="mid:20210407083512.GA19977@fantomas.sk">On 06.04.21 22:47,
      RK K wrote:
      <br>
      <blockquote type="cite" style="color: #007cff;">In this scenario,
        in-order for the secondary server to forward the DNS
        <br>
        query to an external DNS server, is it required to enable the
        recursion in
        <br>
        the global options on the secondary servers?
        <br>
      </blockquote>
      <br>
      yes.
    </blockquote>
    <p>To elaborate a little bit on that... Indeed that is how it works,
      unfortunately. When you start using forwarders or stubs, recursion
      needs to be enabled because you're no longer looking for your own
      authoritative data only.</p>
    <p>What I've learned from this list is that you should split
      authoritative and recursive service.</p>
    <p>In other words, you need two types of servers: <br>
    </p>
    <p>1) A non-recursive one in the backend containing your
      authoritative zones only. This can be a hidden master setup,
      somewhat like what you are using now.<br>
    </p>
    <p>2) The one your users access has recursion enabled, and contains
      stubs to the authoritative service. Obviously, it can also contain
      stubs (or forwarders) to anywhere else. At the same time it is
      performing full recursive service unless you take authority for
      the root zone.</p>
    <p>May I ask what is the reasoning behind your current setup
      (pointing your users to the non-recursive service)? What would you
      like to achieve? What would you like to prevent?<br>
    </p>
    <p>Bye,</p>
    <p>Marki<br>
    </p>
  </body>
</html>