Делегирование поддомена PowerDNS, нет ответов

У меня проблемы с перенаправлением поддомена на другой DNS.

У меня есть:

основной существующий домен: d и новый поддомен:

| 8412 | 42 | тест1.д | НС | ns1.test.test1.d
| 8413 | 42 | тест1.д | НС | ns2.test.test1.d
| 8414 | 42 | ns1.test.test1.d | А | 10.64.91.100
| 8415 | 42 | ns2.test.test1.d | А | 10.64.91.200

и вернуться:

 копать admin.test1.d

; <<>> DiG 9.10.6 <<>> admin.test1.d
; (найден 1 сервер)
;; глобальные параметры: +cmd
;; Получил ответ:
;; ->>HEADER<<- код операции: QUERY, статус: NOERROR, id: 23733
;; флаги: qr rd; ЗАПРОС: 1, ОТВЕТ: 0, АВТОРИЗАЦИЯ: 2, ДОПОЛНИТЕЛЬНО: 3
;; ВНИМАНИЕ: рекурсия запрошена, но недоступна

;; ДОПОЛНИТЕЛЬНЫЙ ПСЕВДОРАЗДЕЛ:
; ЭДНС: версия: 0, флаги:; УДП: 1232
;; РАЗДЕЛ ВОПРОСОВ:
;admin.test1.d. В

;; ОТДЕЛ ПОЛНОМОЧИЙ:
тест1.д. 60 В НС ns1.test.test1.d.
тест1.д. 60 В НС ns2.test.test1.d.

;; ДОПОЛНИТЕЛЬНЫЙ РАЗДЕЛ:
ns2.test.test1.d. 60 В А 10.64.91.200
ns1.test.test1.d. 60 В А 10.64.91.100

Но он не возвращает записи правильно. Пример записи A пуст.

Если я прошу 10.64.91.100 записи возвращаются правильно.

копать @ 10.64.91.100 admin.test1.d

; <<>> DiG 9.10.6 <<>> @10.64.91.100 admin.test1.d
; (найден 1 сервер)
;; глобальные параметры: +cmd
;; Получил ответ:
;; ->>HEADER<<- код операции: QUERY, статус: NOERROR, id: 27387
;; флаги: qr aa rd; ЗАПРОС: 1, ОТВЕТ: 2, АВТОРИЗАЦИЯ: 0, ДОПОЛНИТЕЛЬНО: 1
;; ВНИМАНИЕ: рекурсия запрошена, но недоступна

;; ДОПОЛНИТЕЛЬНЫЙ ПСЕВДОРАЗДЕЛ:
; ЭДНС: версия: 0, флаги:; УДП: 1232
;; РАЗДЕЛ ВОПРОСОВ:
;admin.test1.d. В

;; РАЗДЕЛ ОТВЕТОВ:
админ.тест1.д. 86400 В А 10.64.91.50

Моя конфигурация pdns:

разрешить-axfr-ips = 10.64.91.112

также-уведомить = 10.64.91.112

только уведомление = 10.64.91.112

API=да

API-ключ = ХХХХХХХ


демон=да

по умолчанию-soa-content=ns1.test.eu1.d. admin.domain.pl. 0 10800 3600 604800 3600

по умолчанию ttl=3600

отключить-axfr = нет

опекун=да

include-dir=/etc/powerdns/pdns.d

запуск=

локальный адрес = 10.64.91.111

локальный порт = 53

лог-dns-детали = вкл.

лог-уровень=4

мастер=да

приемник-потоки = 2

setgid=pdns

setuid=pdns

раб=нет

веб-сервер=да

адрес веб-сервера = 10.64.91.111


веб-сервер-разрешить-от = 10.64.91.20

порт веб-сервера = 8081

запрос-кэш-ttl = 60

MySQL:

# Конфигурация MySQL
# Запускаем бэкенд gmysql
запуск+=gmysql
# параметры gmysql
gmysql-хост = локальный
gmysql-порт = 3306
gmysql-dbname = ХХХХ
gmysql-пользователь = ХХХХХ
gmysql-пароль = ХХХХХ
gmysql-dnssec = да
# gmysql-сокет=

Любые идеи?

я видел

Поддомен Powerdns и делегирование

и https://nsrc.org/workshops/2010/sanog16/raw-attachment/wiki/DNS/dns4-presentation.pdf

Он должен работать.

В 10.64.91.100 и 10.64.91.100 я использую dnsdist.

/etc/dnsdist/dnsdist.conf 
-- файл конфигурации dnsdist, пример можно найти в /usr/share/doc/dnsdist/examples/

-- отключить опрос состояния безопасности через DNS

setLocal("0.0.0.0:53")
setACL({"0.0.0.0/0", "::/0"})

новый сервер ({address="10.64.91.111:54"})
новый сервер ({address="10.64.91.112:54"})
setServerPolicy(случайно)

в 10.64.91.111 и 10.64.91.112 я использую PowerDNS Recursor.

кот /etc/powerdns/recursor.conf 
локальный адрес = 10.64.91.111
локальный порт = 54
разрешить-от=10.0.0.0/8, 127.0.0.0/8, 10.12.0.0/16, 10.13.0.0/16, 195.88.50.0/26, 10.66.0.0/16, 10.64.0.0/16
форвард-зоны=d=10.64.91.111:53

Если я правильно понимаю вопрос, то это просто случай несоответствия ожиданий.

Во-первых копать землю Команда в вопросе кажется, что вы запрашиваете полномочный сервер напрямую, и когда его спрашивают об именах в делегированной дочерней зоне, он просто отвечает с информацией о ссылке.
Это действительно все, что ожидается от авторитетного сервера, здесь ничего неожиданного не происходит.

Для полного теста с точки зрения клиентской машины (вместо одного шага в серии запросов, необходимых для получения окончательного ответа), вместо этого вы должны направить запрос на сервер распознавателя. Если это недостающая часть инфраструктуры, это может быть, например, один из PowerDNS Recursor (в отличие от PowerDNS Authoritative), Unbound, BIND с включенной рекурсией, Knot Resolver и т. д.

Это тип сервера, который будет настроен на клиентских машинах (в resolv.conf или любой другой механизм конфигурации, который есть в клиентской ОС), и который будет следовать цепочке делегирования, чтобы фактически получить ответы, которые просили клиенты, в отличие от авторитетного сервера, роль которого просто обслуживает данные, которые у него есть (и в случае делегации, просто отправив направление, как видно из вопроса).

Хорошо, это работает.

Я добавил в recursor.conf не запрашивать и удалил 10.0.0.0/8.

По умолчанию:

По умолчанию: 127.0.0.0/8, 10.0.0.0/8, 100.64.0.0/10, 169.254.0.0/16, 192.168.0.0/16, 172.16.0.0/12, ::1/128, fc00::/7, fe80::/10, 0.0.0.0/8, 192.0.0.0/24, 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24, 240.0.0.0/4, ::/96, ::ffff :0:0/96, 100::/64, 2001:db8::/32