>Совершенно не
>понимаю, зачем сервер 192.168.9.68 для разрешения имени win2003.ad.vz111.debryansk.ru лезет наружу, когда
>должен обращаться к 192.168.3.4. Он обращается к корневым серверам, от них получает ответ, что зону vz111.debryansk.ru обслуживает <Внешний DNS провайдера>, и спрашивает у него.
Возможно, это не так, но здесь (в посте) другой информации нет.
А строчка
*.vz111.debryansk.ru. IN A 192.168.3.3
к чему?
>Дело в том, что например web-сервер для внешнего пользователя -- это 84.42.52.64,
>а для корпоративного пользователя уэто совсем наоборот 192.168.3.3. Так что imho
>как раз нормально, что разные серверы DNS разным пользователям отдают разные
>IP-address.
Нормально, более того - один север может разным клиентам возвращать разные адреса, но - должны быть прописаны view зон с ограничениями, кто (внешние/внутренние) какую зону получает (видит).
>Но вот почему мой внутренний DNS для разрешения имени в зоне ad
>лезет наружу, а не обращается к другому внутреннему серверу согласно директивы:
>
>
>ad.vz111.debryansk.ru.
> IN NS ns.ad.vz111.debryansk.ru.
>
>я как-то не очень понимаю.
Возможно (см. выше), root-серверы для него больший авторитет. Нужно смотреть, куда идут запросы и кто что возвращает. Рекурсия включена?
Необязательно внутренним серверам лазить на рутовые, они вполне могут обходиться forwarders.
Основной сервер может не держать ns-запись, а быть secondary ad.