<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <div class="moz-cite-prefix">On 23/01/2018 21:00, Brian T wrote:<br>
    </div>
    <blockquote type="cite"
cite="mid:CAJwDTWJfY39y_NwG5a4oM8wkGybC86Csv-qnRdzxCcnEkvu+aA@mail.gmail.com">I've
      been seeing intermittent lookup failures for '<a
        href="http://nova.clouds.archive.ubuntu.com"
        moz-do-not-send="true">nova.clouds.archive.ubuntu.com</a>'.</blockquote>
    <p>Hmm:</p>
    <p>$ dig +trace nova.clouds.archive.ubuntu.com</p>
    <p>...</p>
    <p>ubuntu.com.        172800    IN    NS    ns1.p27.dynect.net.<br>
      ubuntu.com.        172800    IN    NS    ns3.p27.dynect.net.<br>
      ubuntu.com.        172800    IN    NS    ns2.p27.dynect.net.<br>
      ubuntu.com.        172800    IN    NS    ns4.p27.dynect.net.<br>
      ;; Received 198 bytes from 2001:501:b1f9::30#53(2001:501:b1f9::30)
      in 117 ms<br>
      <br>
      clouds.archive.ubuntu.com. 60    IN    NS    piru.canonical.com.<br>
      ;; Received 77 bytes from 2001:500:94:1::27#53(2001:500:94:1::27)
      in 46 ms</p>
    <p>Ergh!<br>
    </p>
    <p>1. clouds.archive.ubuntu.com has only a *single* nameserver
      (haven't they read RFC2182?)</p>
    <p>2. the single NS record has a ridiculously low TTL of 60 seconds</p>
    The A record for piru.canonical.com has a semi-reasonable TTL of 30
    minutes, although the NS records for canonical.com are cranked down
    to 10 minutes in the zone:<br>
    <p>$ dig +trace piru.canonical.com.</p>
    <p>...</p>
    <p>canonical.com.        172800    IN    NS    ns1.p27.dynect.net.<br>
      canonical.com.        172800    IN    NS    ns3.p27.dynect.net.<br>
      canonical.com.        172800    IN    NS    ns2.p27.dynect.net.<br>
      canonical.com.        172800    IN    NS    ns4.p27.dynect.net.<br>
      ;; Received 186 bytes from 2001:502:8cc::30#53(2001:502:8cc::30)
      in 205 ms<br>
      <br>
      piru.canonical.com.    1800    IN    A    91.189.95.68<br>
      canonical.com.        600    IN    NS    ns3.p27.dynect.net.<br>
      canonical.com.        600    IN    NS    ns2.p27.dynect.net.<br>
      canonical.com.        600    IN    NS    ns1.p27.dynect.net.<br>
      canonical.com.        600    IN    NS    ns4.p27.dynect.net.<br>
      ; Received 138 bytes from 208.78.70.27#53(208.78.70.27) in 12 ms<br>
    </p>
    <p>This is pretty badly configured, and getting some failures to
      resolve is probably to be expected.<br>
    </p>
    What I'd like to understand though is how many times pdns-recursor
    retries a query to an authoritative server, within that 5500ms
    timeout you've set (or the default 1500ms timeout), given that it
    has no other server to failover to.<br>
    <br>
    Regards,<br>
    <br>
    Brian Candler.<br>
  </body>
</html>