<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;">As Mark mentions, the NS records <a href="http://gtm.bankeasy.com">gtm.bankeasy.com</a> need to be corrected and failure is not due to lack of iterating through all auth nameservers (all of the auth nameservers have the bad NS record anyway).  <div><br></div><div>Not sure how many other domains you are running into similar problem, but you could disable qname-minimization in 9.18 to mimic previous behavior of 9.16 if that number is large.  I believe qname-minimization is a global directive so it would remove privacy benefits of QNAME minimization for all recursive queries from your nameserver. </div><div><br></div><div>As DNS admin of another ISP, I sympathize dealing with failures caused by non-compliant authoritative nameservers.  These non-compliant auth nameservers can have little motivation to fix, especially when other large ISPs or public resolvers (looking at you Google and Cloudflare) don’t enforce DNS standards.   Many non-compliant nameservers/records would be cleaned up if public/centralized DNS providers such as Google/Cloudflare would enforce since it would inflict those failures on a much larger user base.</div><div><br></div><div> - Rick</div><div><br></div><div><br id="lineBreakAtBeginningOfMessage"><div><br><blockquote type="cite"><div>On Oct 27, 2023, at 6:31 PM, Mark Andrews <marka@isc.org> wrote:</div><br class="Apple-interchange-newline"><div><div><br><br>Named now uses NS lookups to perform QNAME minimisation.  If one puts garbage in the NS<br>records then they should expect lookups to fail.  The NS records on both sides of a zone<br>cut are supposed to be IDENTICAL.  This is not a new requirement.  It has been this way<br>since the very beginning.<br><br>The bank needs to fix what they publish.<br><br>Mark<br><br><blockquote type="cite">On 28 Oct 2023, at 02:36, Michael Martinell via bind-users <bind-users@lists.isc.org> wrote:<br><br>Hello,<br> At this point I am hoping that somebody might have a workaround so that we can exclude domains from this behavior if they are broken on the far end. Does anybody have a workaround for this?<br> We are a small ISP and run BIND compiled from source. We currently run 9.16.x<br>Every time we try to move forward with 9.18 customers start to complain that they are unable to reach certain websites.  This includes banks, universities, and other organizations.<br> I understand the goal is to get all DNS to RFC 6891, but from a practical standpoint, this isn’t working for customers, so we are prevented from upgrading either.<br> Related website:<br>https://gitlab.isc.org/isc-projects/bind9/-/issues/3152<br> Our source code compile options:<br>./configure --with-gnu-ld --with-libxml2 --with-json-c --with-openssl=/usr/local/openssl && make && make install && ldconfig<br><br><br><br>Interstate Telecommunications Coop., Inc.<br>312 4th Street West • Clear Lake, SD 57226<br>Phone: (605) 874-8313<br>michael.martinell@itccoop.com<br>www.itc-web.com<br></blockquote><br></div></div></blockquote></div><br></div></body></html>