BIND parece ignorar registros de cola

Temos um problema com alguns servidores de nome de cache que executam o BIND no CentOS, pois eles parecem estar atuando incorretamente e não manipulando adequadamente os 'Registros Adicionais' que contêm os registros de cola. Ao fazer o pedido do d.gtld-servers.net, você obtém os registros de cola:

$ dig @192.31.80.30 ns1.teamsystem.com

; DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5 @192.31.80.30 ns1.teamsystem.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; -HEADER- opcode: QUERY, status: NOERROR, id: 48270
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;ns1.teamsystem.com.            IN      A

;; AUTHORITY SECTION:
teamsystem.com.         172800  IN      NS      ns1.teamsystem.com.
teamsystem.com.         172800  IN      NS      ns2.teamsystem.com.

;; ADDITIONAL SECTION:
ns1.teamsystem.com.     172800  IN      A       2.115.99.97
ns2.teamsystem.com.     172800  IN      A       2.115.99.98

;; Query time: 100 msec
;; SERVER: 192.31.80.30#53(192.31.80.30)
;; WHEN: Mon Aug  6 10:22:54 2012
;; MSG SIZE  rcvd: 100

Eu estou querendo saber se é o próprio domínio ou algo que nós configuramos incorretamente. O seguinte é um tcpdump parafraseado.

# dig +trace ns1.teamsystem.com
- Standard query NS <Root>
- Standard query response NS ... (lists all the root nameservers)
- Standard query A d.gtld-servers.net
- Standard query response A 192.31.80.30
- Standard query A ns1.teamsystem.com
- Standard query response 
-- Additional Records
--- ns1.teamsystem.com: type A, class IN, addr 2.115.99.97
--- ns2.teamsystem.com: type A, class IN, addr 2.115.99.98

Neste ponto, o dig começa a usar os servidores de nomes do /etc/resolv.conf para obter o AAAA do ns1.teamsystem.com

- Standard query AAAA ns1.teamsystem.com
- Standard query response, Server failure

Temos 3 entradas de servidor de nomes, então ele tenta todas, recebendo a mesma falha. Em seguida, ele tenta novamente com a solicitação de registro.

- Standard query A ns1.teamsystem.com
- Standard query response, Server failure

Isso prova que o BIND, em nossos resolvedores, não pode ou não está disposto a seguir com os registros de cola que estão claramente disponíveis na seção Registros Adicionais.

O único problema que podemos encontrar com a zona é que o SOA não corresponde aos servidores de nomes nos registros de cola:

$ dig +short @2.115.99.98 teamsystem.com SOA  
ns.teamsystem.com. postmaster.teamsystem.com. 1 3600 600 86400 3600