<div dir="ltr">Hi Bob.<div>In a previous life I did just this. Large resolvers for customers and internal users, defaulting to the Internet but with specific configuration to internal auth-only servers for private zones (I used stub but static-stub and mirror are alternatives - they each behave slightly differently). In my case these resolvers forwarded (only) to Internet-edge resolvers, which then did recursion. There were no internal roots anywhere.</div><div>Essentially the idea was, treat internal resolution as specific exceptions to the general rule of "everything lives in the Internet".</div><div><br></div><div>One note of caution is, beware DNSSEC validation. These days it is on by default, which is not necessarily a problem, even if your internal zones aren't signed. But what it does mean is that internal zones *must* be properly delegated from parent zones in the Internet, otherwise the chain of trust will be broken and validation will fail. e.g. if your registered domain in the outside world is "<a href="http://example.com">example.com</a>" then a valid internal zone could be "<a href="http://internal.example.com">internal.example.com</a>".</div><div>You can configure BIND to *not* validate certain zones, which is a way around it. But I'd recommend doing it right from the start, if you have the option.</div><div><br></div><div>I hope that helps.</div><div>Greg</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, 14 Oct 2022 at 17:08, Bob McDonald <<a href="mailto:bmcdonaldjr@gmail.com">bmcdonaldjr@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I'm thinking about redesigning an internal DNS environment. To begin<br>
with, all internal DNS zones would reside on non-recursive servers<br>
only. That said, all clients would connect to recursive resolvers.<br>
<br>
The question is this; do I use an internal root with pointers to the<br>
internal zones (as well as the outside DNS world) or do I include stub<br>
zones to point at the non-recursive internal servers?<br>
<br>
Access to the internal DNS zones would be controlled by location.<br>
(e.g. guest WiFi devices would NOT have access to internal DNS<br>
zones...)<br>
<br>
Recursive resolvers would allow implementation of features such as RPZ, etc.<br>
<br>
Regards,<br>
<br>
Bob<br>
-- <br>
Visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
ISC funds the development of this software with paid support subscriptions. Contact us at <a href="https://www.isc.org/contact/" rel="noreferrer" target="_blank">https://www.isc.org/contact/</a> for more information.<br>
<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div>