Pelo que você disse, presumo que esse é um servidor recursivo e não um servidor autoritativo .
Dos detalhes fornecidos, você não deve ter problemas. Sua rede aparentemente suporta respostas > 512 bytes, e seu servidor suporta EDNS0.
Em qualquer caso, você só terá problemas se o servidor enviar consultas a servidores externos que tenham o conjunto DO
bit (DNSSEC OK).
Sem esse sinalizador, todas as respostas dos servidores raiz (e de qualquer outro servidor autoritativo) serão exatamente iguais em 5 de maio, como acontecia antes do DNSSEC.
A única outra coisa que você deve verificar é que sua rede permite que as consultas DNS de saída trabalhem sobre TCP - portanto, nunca bloqueie o tcp / 53 de saída em seu firewall.
Se precisar de mais ajuda, por favor, pergunte. Sou autor de vários documentos da ICANN e da IETF relacionados a esse assunto.