<div dir="ltr">Hi Greg,<div><br></div><div>Thanks so much, your last paragraph makes sense.</div><div><br></div><div>I guess what I would expect, and excuse me if this reasoning is flawed, is that BIND could use different queues/priorities for external/internal domains. E.g. if after parsing the necessary query fields I see that I'm authoritative for the requested zone, and I have its data stored locally, I can reply straight away without a timeout/SERVFAIL and keep my internal ".local" domains running OK, while other queries that have to go to the root servers would go straight to the recursive-clients quota.</div><div><br></div><div>Anyway, thanks a lot for your reply and for running the Internet for so many years :D</div><div><br></div><div>Thanks!</div><div>Pedro</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">El vie, 8 nov 2024 a las 11:43, Greg Choules (<<a href="mailto:greg@isc.org">greg@isc.org</a>>) escribió:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello Pedro.<br>
Firstly, which version of BIND are you running?<br>
Generally, though, increasing `recursive-clients` on a box with a decent amount of power and RAM is not an issue: 50k, or even bigger, should be fine. But please test it first. We have discussed raising the default but we’re not quite ready to make that change in a major release just yet.<br>
<br>
Be aware, though, that if the resolver can’t get answers, it will probably SERVFAIL clients and the larger the backlog of clients the longer it will take to get around to responding to them, by which time they are likely to have timed out and be retrying anyway.<br>
<br>
I hope that helps.<br>
Greg<br>
<br>
> On 8 Nov 2024, at 10:20, Pedro García Segura <<a href="mailto:pedrogs@gmail.com" target="_blank">pedrogs@gmail.com</a>> wrote:<br>
> <br>
> Hello,<br>
> <br>
> Recently we had a Internet outage that lasted for a few hours and quickly filled the recursive clients quota (set at 1000) since most internet-bound recursive queries timed out, and our network is huge.<br>
> <br>
> This also affected recursive queries to internal authoritative domains, thus interrupting access to critical internal resources which don't have any Internet/SaaS dependencies.<br>
> <br>
> I'm having a hard time understanding the default recursive max quota being set at 100 by default, since most modern servers now have RAM to spare, and it's a bit scary to think that another Internet outage may happen again and internal critical services may not be able to resolve internal authoritative zones.<br>
> <br>
> Can anyone give some insight into this issue? Can I just configure a huge number of maximum recursive clientes (say 50k) to "absorb" the intetnet-bound queries that are timing out and be able to respond to client requests for internal authoritative zones?<br>
> <br>
> I'm probably missing something, so thanks a lot for your understanding!<br>
> <br>
> Cheers!<br>
> Pedro<br>
> -- <br>
> Visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
> <br>
> ISC funds the development of this software with paid support subscriptions. Contact us at <a href="https://www.isc.org/contact/" rel="noreferrer" target="_blank">https://www.isc.org/contact/</a> for more information.<br>
> <br>
> <br>
> bind-users mailing list<br>
> <a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
> <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
<br>
</blockquote></div>