Por padrão, o servidor DNS não consolidado funciona pelo esquema "clássico": consulta os servidores raiz para os registros NS da zona e, em seguida, consulta os NSs para A / AAAA /...
Em algum momento (raramente) a conectividade entre meu DNS e NS de destino está falhando, mas NSs ainda estão disponíveis em vários LookingGlasses e no DNS do Google / Level3, então "nslookup www.target.com 8.8.8.8" e "nslookup www.target.com 4.2.2.2" retorna a resposta correta.
Como configurar o Unbound para usar encaminhadores públicos quando (e somente depois) a consulta direta ao NS'es de destino falhar? A seguinte configuração funciona bem, mas encaminha todas as consultas imediatamente para os encaminhadores, ignorando alvo NS'es em tudo:
forward-zone:
name: "."
forward-first: no
forward-addr: 8.8.8.8
forward-addr: 4.2.2.2