<div dir="ltr">On Tue, Oct 29, 2013 at 1:08 PM, Mark Andrews <span dir="ltr"><<a href="mailto:marka@isc.org" target="_blank">marka@isc.org</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I would be getting on the phone as REFUSED is not a response that<br>
is cached then returned in the down stream responses.  Normally<br>
upstream REFUSED become down stream SERVFAIL.  The usual way to get<br>
this is to configure a zone then set the acl to prevent respones.<br>
<br></blockquote><div><br></div><div>This is exactly why this is so bizarre to me.  Additionally <a href="http://dnsviz.net">dnsviz.net</a> has NS records with server names in <a href="http://sandia.gov">sandia.gov</a>, yet <a href="http://dnsviz.net">dnsviz.net</a> does not have issues, so it doesn't appear to be a resolution issue, but rather a resolver issue.<br>
<br></div><div>Anyway, we do have a call in to Verizon, but the callback time is 24-48 hrs.  I thought I'd try the list to see if we could find someone that knows what they're talking about a bit sooner.<br></div>
<div><br>Cheers,<br>Casey <br></div></div></div></div>