Eu faço de outra maneira, em SOA meu mestre é ns1 (zona de escravos), eu tenho 3 escravos locais ns2, ns3 e ns4 e, em seguida, dois servidores de nomes externos.
Todo o DNS é feito em uma máquina independente, mas é configurado para enviar-notifica para o mestre local, que é configurado para 'também notificar' o local e remover escravos, dessa forma, as atualizações só podem vir de 1 endereço IP. meu espaço IP local.
Eu também adiciono TSIG como meus escravos externos estão usando a internet pública para se comunicar.
Tudo isso é uma preferência pessoal, mas o importante é lembrar que você não deseja que os servidores de nomes publicados façam qualquer tipo de atualização de redes inseguras, apenas aquelas que você mantém, confia e protege e, em seguida, TSIG (Layer Application Security) no topo.
Além disso, eu corro o Bind9, mas também executo o DBJDNS (usando scripts para retransferir do master na atualização) o que me permite usar um simples, webui e ainda ter um backend de escravo seguro.