<div dir="ltr"><div dir="ltr">Hi Jan<div><br></div><div>I understand. What can be confusing while researching this is that there seems to be different behaviors depending on which Tech you use (Powerdns, Bind, Windows AD DNS..)</div><div><br></div><div>In my case (which basically is Scenario 1 of the Powerdns Docu <a href="https://doc.powerdns.com/authoritative/guides/recursion.html">https://doc.powerdns.com/authoritative/guides/recursion.html</a>) - hence i've choosed this design without dnsdist in front - could one not argue that technically it is not a recursion but a Forwarding/Conditional Forwarding in this scenario with the forward-zone configuration? </div><div><br></div><div>To throw in a third tech besides Bind and Powerdns: The Windows AD DNS Forwarder keeps the AA Flag when it is getting the internal zones in a constellation where it is using Bind Resolver (my old infrastructure). If the Windows DNS would follow the approach you are mentioning it should not give back the AA Flag.</div><div><br></div><div>Regards</div><div><br></div><div><br></div></div></div>