<div dir="ltr"><div>Hi</div><div><br></div><div>I have a Split DNS configuration:</div><div><br></div><div><br></div><div><b>Internal DNS</b></div><div>- I have an internal Setup of Powerdns Authoritative and Powerdns Recursor</div><div>- On the Powerdns Authorititative internal i have several internal only domains like <a href="http://bla.test.com">bla.test.com</a>, <a href="http://bli.test.com">bli.test.com</a> etc. (configured via forward-zone)</div><div>- These internal Domains do not have dnssec configured</div><div>- My internal Servers and clients use the Powerdns Recursor to resolve internal names via forward-zone and external Names via Recurso (dnssec=validate active)</div><div><br></div><div><br></div><div><b>External DNS</b></div><div>- AWS R53 hosted Public Zone <a href="http://test.com">test.com</a></div><div>- DNSSEC is currently not enabled</div><div>- In the external <a href="http://test.com">test.com</a> i have because of historical reasons some 2-3 shadow records (records which are also configured in the internal Zone on Powerdns Authoritative with an internal IP...)</div><div><br></div><div>I'm planning to enable DNSSEC for the external <a href="http://test.com">test.com</a> Zone (but for now not on the internal Subdomains <a href="http://bla.test.com">bla.test.com</a>,<a href="http://bli.test.com">bli.test.com</a> etc. on the internal Powerdns Authoritative).</div><div><br></div><div>I'm starting to believe that i will create a mess with enabling DNSSEC on the external <a href="http://test.com">test.com</a> side...i know that Split DNS is not optimal per se. </div><div><br></div><div>Do i create a mess with this planned DNSSEC enabling on the external <a href="http://test.com">test.com</a> DNS Zone?</div><div><br></div><div>Thanks for any advice</div><div><br></div><div><br></div></div>