<div dir="ltr">Hi<br><br>I'm in a testing phase of an internal powerdns setup which i will take into production in a few weeks.<br><br><br>Setup:<br><br>- Primary Powerdns Authoritative 4.9 (hidden master, it is not used as a resolver for clients)<br>- Secondary 1, Powerdns Recursor with Powerdns Authoritative (used as resolver for clients)<br>- Secondary 2, Powerdns Recursor with Powerdns Authoritiative (used as resolver for clients)<br>- The authoritatives are responsible for about 10 internal zones like <a href="http://example1.mydomain.com">example1.mydomain.com</a>, <a href="http://example2.mydomain.com">example2.mydomain.com</a> - this are configured in forward-zones file of the recursor<br>- The SOA of this zones is set to the FQDN of the primary Powerdns<br><br><br>Possible Problem:<br><br>- During tests we came aware that the internal zones (like <a href="http://example1.mydomain.com">example1.mydomain.com</a>) does not give back an Authoritative answers to queries in a zone. So:<br><br>*************************************************************************<br>$ dig <a href="http://test.example1.mydomain.com">test.example1.mydomain.com</a> @<ip-of-my secondary><br>; <<>> DiG 9.18.28-0ubuntu0.22.04.1-Ubuntu <br>...<br>;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1<br><br>;; OPT PSEUDOSECTION:<br>; EDNS: version: 0, flags:; udp: 512<br>;; QUESTION SECTION:<br>;<a href="http://test.example1.mydomain.com">test.example1.mydomain.com</a>.       IN      A<br><br>;; ANSWER SECTION:<br><a href="http://test.example1.mydomain.com">test.example1.mydomain.com</a>. 400    IN      A       10.0.25.28<br>*************************************************************************<br><br><br>As you can see above "AUTHORITY: 0" is a none authoritative answer<br><br><br>Question:<br><br>With regards to resolving everything works - but i wonder why this happens. Is this normal behavior for a setup with a resolver and using forward-zone in PDNS? Do i have to care about this behavior to avoid running into problems? I've already tried to set the SOA to the secondary instead of the hidden master. But this does not change the authoritity value in a dig query.<br><br>Not that this only happens for records in the internal zones. If i dig an internal zone it gives back AUTHORITY: 1<br><br>***************************************************************<br>$ dig <a href="http://example1.mydomain.com">example1.mydomain.com</a> @<my-secondary-ip><br>..<br>;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52050<br>;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1<br><br>;; OPT PSEUDOSECTION:<br>; EDNS: version: 0, flags:; udp: 512<br>;; QUESTION SECTION:<br>;<a href="http://example1.mydomain.com">example1.mydomain.com</a>.               IN      A<br><br>;; AUTHORITY SECTION:<br><a href="http://example1.mydomain.com">example1.mydomain.com</a>.        400     IN      SOA     <a href="http://my-primary.example1.mydomain.com">my-primary.example1.mydomain.com</a>. <a href="http://rz.mydomain.com">rz.mydomain.com</a>. 2024103103 10800 3600 604800 3600<br>*******************************************************************<br><br>Compared to my old setup with BIND Servers (a Master and a slave which are being used as clients for resolver)<div><br></div><div>***************************************************************</div><div>$ <a href="http://test.example1.mydomain.com">test.example1.mydomain.com</a> @<ip of my current BIND Servers)<br>..<br>;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3<br><br>;; OPT PSEUDOSECTION:<br>; EDNS: version: 0, flags:; udp: 4096<br>;; QUESTION SECTION:<br>;<a href="http://test.example1.mydomain.com">test.example1.mydomain.com</a>.       IN      A</div><div><br>;; ANSWER SECTION:<br><a href="http://test.example1.mydomain.com">test.example1.mydomain.com</a>. 400    IN      A       10.0.25.28<br><br>;; AUTHORITY SECTION:<br><a href="http://example1.mydomain.com">example1.mydomain.com</a>  .        400     IN      NS      <a href="http://bind-primary.example1.mydomain.com">bind-primary.example1.mydomain.com</a>.<br><a href="http://example1.mydomain.com">example1.mydomain.com</a>  .        400     IN      NS      <a href="http://bind-secondary.example1.mydomain.com">bind-secondary.example1.mydomain.com</a> .<br><br>;; ADDITIONAL SECTION:<br><a href="http://bind-primary.example1.mydomain.com">bind-primary.example1.mydomain.com</a>. 400 IN     A       10.0.40.10<br><a href="http://bind-secondary.example1.mydomain.com">bind-secondary.example1.mydomain.com</a>. 400 IN     A       10.0.40.20<br><br></div><div>**********************************************<br><br><br><br><br><br>Thanks for any help.<br></div></div>