<div dir="ltr"><div dir="ltr">On Fri, Mar 5, 2021 at 1:23 AM Viktor Dukhovni <<a href="mailto:ietf-dane@dukhovni.org">ietf-dane@dukhovni.org</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">The below was just brought to my attention, a domain with 81(!) records<br>
in its NS RRSet (3201 bytes over TCP):<br></blockquote><div><br></div><div>I can tell from the naming convention that's a DNS zone supporting an Active Directory domain and those are the domain controllers. For a large organization, that's not a particularly unusual number of domain controllers. We have an AD domain in one of our forests with probably a similar number. It's not as common for the DNS supporting an active directory forest to be resolvable from the Internet, but in today's network world that doesn't strike me as terribly odd. I can think of a number of reasons an organization might make that decision.</div><div><br></div><div>I believe if you run Microsoft DNS Server in integrated active directory mode every domain controller has to be an authoritative nameserver for the zone. We haven't used Microsoft DNS Server in any significant capacity supporting the DNS zones for our large forests in so many years, though, I can't say with certainty.</div><div><br></div><div>Scott</div></div></div>