Как правильно настроить делегирование DNS-зоны для поддомена «_acme-challenge»?

Нам сложно настроить делегирование зоны DNS для одного из наших поддоменов.

У нас есть одна DNS-запись "_acme-challenge", который будет часто меняться, и эта запись DNS определяется непосредственно на нашем сервере, который действует как ВТОРИЧНЫЙ сервер имен только для этой записи.

Нам нужно, чтобы эта запись была делегирована нашему ВТОРИЧНОМУ серверу имен, вместо того, чтобы изменять ее вручную в нашей ОСНОВНОЙ зоне DNS.

Обратите внимание, что наш ВТОРИЧНЫЙ сервер имен является тем же доменом "example.com".

Наше доменное имя зарегистрировано в OVH: example.com

Наши ОСНОВНЫЕ DNS-серверы находятся в OVH:

ns15.ovh.net
dns15.ovh.net

Наши example.com контент размещается на веб-сервере (не на OVH), имеющем следующий IP-адрес: 212.123.456.789

У нас нет проблем с этой зоной DNS: наш домен и электронная почта работают правильно.

Наша ОСНОВНАЯ зона DNS определена в OVH следующим образом (сокращенно для краткости):

$TTL 3600
@   IN SOA dns15.ovh.net. tech.ovh.net. (2019111705 86400 3600 3600000 300)
                       IN NS     ns15.ovh.net.
                       IN NS     dns15.ovh.net.
                       IN A      212.123.456.789
ftp                    IN CNAME  example.com.
mail                   IN A      212.123.456.789
www                    IN CNAME  example.com.

У нашего второго DNS-сервера есть эти всегда существующие записи:

example.com.            NS      ns1.example.com.
ns1.example.com.        A       212.123.456.789
example.com.            NS      ns2.example.com.
ns2.example.com.        A       212.123.456.789

Наш второй DNS-сервер будет регулярно обновлять следующую запись в своей зоне:

_acme-challenge.example.com     TXT     HereIsTheTextContent

Мы попытались добавить следующие записи в нашу ОСНОВНУЮ зону DNS в OVH, чтобы делегировать эту запись ВТОРИЧНОМУ серверу имен, но безуспешно: _acme-challenge.example.com совсем не пингует.

ns1                    IN A      212.123.456.789
ns2                    IN A      212.123.456.789
_acme-challenge        IN NS     ns1.example.com.
_acme-challenge        IN NS     ns2.example.com.

Мы догадались, что какие-то записи отсутствуют, но где?

Мы забыли добавить несколько записей в главную зону DNS? (определено в OVH)
Мы забыли добавить несколько записей в нашу ВТОРИЧНУЮ зону DNS? (определено на нашем "example.com", размещенном на нашем сервере)

Я был бы рад, если бы вы могли точно определить ошибку и дать нам подсказку, как заставить ее работать :-)

Спасибо

Спасибо за ваши комментарии ! Вот несколько ответов и решение.

TL; DR : Начальная конфигурация DNS, опубликованная в моем вопросе полностью функциональна. Мы необоснованно думали, что он не работает, потому что забыли, что записи TXT не могут быть отправлены ping! (Позор нам)

Подробные объяснения и ответы:

@Ryan Bolger: То, что мы называем "ГЛАВНЫМ DNS-сервером": ns15.ovh.net И dns15.ovh.net. Они управляются машиной, размещенной на OVH.
@ Райан Болджер: То, что мы называем «ВТОРИЧНЫЙ DNS-сервер»: ns1.example.com И ns2.example.com. Они управляются машиной, размещенной в нашей собственной инфраструктуре. Правильный термин для этого кажется "подчиненная зона DNS".
@Ryan Bolger: Эти ГЛАВНЫЙ и ВТОРИЧНЫЙ серверы имен имеют разные имена, потому что они не управляются одним и тем же компьютером.
@ Райан Болджер: Мы не выбрали использование зональных передач AXFR / IFXR без какого-либо ручного вмешательства, потому что наших знаний для их правильной настройки недостаточно.
@Harry Johnston: Да, мы пытаемся создать первичный сервер имён для поддомена. Он называется нашим «ВТОРИЧНЫМ DNS-сервером». Извините за путаницу и формулировки!
@Harry Johnston: Нет, мы раньше не использовали этот «ВТОРИЧНЫЙ DNS-сервер». Мы используем его только для того, чтобы содержать и поставлять _acme-challenge запись
@ Гарри Джонстон: Простите, когда мы сказали, что _acme-challenge запись «вообще не пингует»: Вы правы, и мы ошиблись, забыв, что записи TXT не пингуются! (Позор нам снова)

Итак, чтобы завершить всю информацию о текущей ситуации:

=> _acme-challenge Запись TXT определена на нашем «ВТОРИЧНОМ DNS-сервере» (также известном как наша подчиненная зона DNS) (который, по сути, действует как первичный сервер имен, как отметил @Harry Johnston). Более подробную информацию об этой технике можно найти в Использовать домен валидации «выбрасывания» раздел этой статьи: https://www.eff.org/deeplinks/2018/02/technical-deep-dive-securing-automation-acme-dns-challenge-validation

=> Наш «ГЛАВНЫЙ DNS-сервер», расположенный в OVH, имеет следующую зону:

$TTL 3600
@   IN SOA dns15.ovh.net. tech.ovh.net. (2019111705 86400 3600 3600000 300)
                       IN NS        ns15.ovh.net.
                       IN NS        dns15.ovh.net.
                       IN A         212.123.456.789
ftp                    IN CNAME     example.com.
mail                   IN A         212.123.456.789
www                    IN CNAME     example.com.
ns1                    IN A         212.123.456.789
ns2                    IN A         212.123.456.789
_acme-challenge        IN NS        ns1.example.com.
_acme-challenge        IN NS        ns2.example.com.

=> Наш «ВТОРИЧНЫЙ DNS-сервер», размещенный в нашей собственной инфраструктуре, имеет следующую зону с регулярно меняющейся _acme-challenge Запись TXT:

HOST                                Record Type         Value
example.com.                        NS                  ns1.example.com.
ns1.example.com.                    A                   212.123.456.789
example.com.                        NS                  ns2.example.com.
ns2.example.com.                    A                   212.123.456.789
_acme-challenge.example.com.        TXT                 k9ieQiTudAC7XydqdG7UIOtJn0PPC4brDK7e_zOC-7m

Вывод таков: работает:

В _acme-challenge Запись TXT правильно получена с нашего «ВТОРИЧНОГО DNS-сервера», что означает, что делегирование зоны для _acme-challenge поддомен работает.

Мы не видим ошибок в этой конфигурации: вы все можете подтвердить?