Acredito que encontrei a configuração que controla esse recurso: link
"Configuração segura de cache contra poluição" é uma das configurações ativadas.
Não estou claro como o servidor DNS do Windows deve usar registros adicionais (ou seção adicional).
De um sniff de pacote estou percebendo o seguinte:
consulte o servidor raiz para domain.com
resposta: servidores do gltd ns para .com (com registros adicionais)
consultar o servidor GLTD para domain.com
resposta: ns1.server.net (e ns2) para domain.com (com registros adicionais)
consulta o servidor raiz para ns1.server.net
resposta: servidores gltd ns para .net (com registros adicionais)
....
O que eu estou confuso é porque o servidor DNS do Windows não está usando o IP nos Registros Adicionais para ns1.server.net - mas vai e consulta os servidores raiz? (o cache não está desativado)
Acredito que encontrei a configuração que controla esse recurso: link
"Configuração segura de cache contra poluição" é uma das configurações ativadas.
Isso acontece por motivos de segurança - para evitar spoofing de DNS (envenenamento de cache).
O seu servidor DNS sabe que esses servidores GTLD são autoritativos para .com porque recebeu a referência para isso da raiz. Portanto, aceita os dois registros NS, pois seus nomes de registros estão em .com.
No entanto, ele não sabe se esses servidores GTLD também são autoritativos para .net ou não. Portanto, ele não pode confiar nos registros adicionais com nomes de registros em .net (eles podem ser armazenados em cache) e é reiniciado na raiz para ter certeza.