Quando você coloca servidores recursivos de DNS em cascata e apresenta encaminhadores, esse é o tipo de problema que você encontra.
Um dos seus servidores DNS não está respondendo corretamente. Todos os servidores com exceção de autoridade podem ter um cache.
Duas possibilidades:
- Um dos servidores com autoridade não está respondendo, mas um de seu cache tem uma boa resposta.
- Um de seu servidor remetente / recursivo tem uma entrada incorreta no cache (pode ser um registro NS, um CNAME, uma delegação, ...).
dig pode ajudá-lo a saber exatamente qual servidor está se comportando incorretamente (mas sua saída deve ser lida com cuidado):
dig myhost @myfirstforwarder
dig myhost @myrealrecursor
dig -t NS myhost
dig -t any @authserver1
dig -t any @authserver2
e assim por diante.
O truque é: não colocar encaminhadores no lugar: apenas servidores recursivos e autoritativos. Mantenha-o simples e estúpido.