<div dir="ltr">Thanks Otto, definitely is the correct config file, if for instance I change the host-hints-file look up to no, the service fails to load and indicates it cant find the file named no (assume we're not on that version yet... separate issue.. )<div><br></div><div>I conclude it's ignoring the forward zones recurse because at the enterprise edge firewall the only dns lookups I see coming from the box (by the vast volumes) and heading outside are heading to other name servers than anything I specified. Looks like typical root hint type recursive lookups. Not a single instance for the specified forwarder(s). </div><div><br></div><div>I did confirm that dig's etc to 9.9.9.9 etc in CLI do allow just fine, so there is no local firewall blockage. <br><br>Any other thoughts? Seems odd, but I am new to PDNS.. </div><div><br></div><div>Best, Tim<br><div><br></div><div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Aug 24, 2022 at 3:13 PM Otto Moerbeek <<a href="mailto:otto@drijf.net">otto@drijf.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Wed, Aug 24, 2022 at 09:05:46PM +0200, Otto Moerbeek via Pdns-users wrote:<br>
<br>
> On Wed, Aug 24, 2022 at 02:09:11PM -0400, Holmes, Timothy via Pdns-users wrote:<br>
> <br>
> > Hi Team,<br>
> > <br>
> > I have what I hope is a simple question I'm unable to find a better answer<br>
> > for. I would like to add some external forwarders to our recursor<br>
> > instances. These are live running prod instances. I verified the live paths<br>
> > and updated the recursor.config's to reflect<br>
> > <br>
> > forward-zones-recurse=.=9.9.9.9;149.112.112.112;1.1.1.2;1.0.0.2<br>
> > and also tried forward-zones-recurse=.=9.9.9.9<br>
> > <br>
> > Each time pushed a restart and verified. Each time the root name hints seem<br>
> > to still be the default behavior including after removing the referenced<br>
> > root hint file entry.<br>
> > <br>
> > sudo service pdns-recursor restart<br>
> > sudo service pdns-recursor status<br>
> > <br>
> > Am I missing something obvious, or will the root hints always take<br>
> > precedence?<br>
> > <br>
> > Thanks, Tim<br>
> > -- <br>
> > <br>
> > [image: College of the Holy Cross Logo]<br>
> > <br>
> > *TIM HOLMES*<br>
> > *Chief Information Security Officer*<br>
> > Information Technology Services<br>
> > <a href="mailto:tholmes@holycross.edu" target="_blank">tholmes@holycross.edu</a><br>
> > Pronouns: He/Him/His<br>
> <br>
> Syntax loogs good. Checks the log, when starting up the recusor logs<br>
> the redirects configged. If it does not do that, you are using another<br>
> config file than you are editing. Maybe an alternate --config-dir?<br>
<br>
Also, how do you conclude it is ingnoring the forward-zones-recurse?<br>
<br>
        -Otto<br>
</blockquote></div>