用一个词来回答您的第一个问题，“是”。

回答你的第二个问题，最佳实践问题通常非常主观，不适合 Stack Exchange 格式。经验法则是应该有一个答案，并且它应该是正确的答案，而不是你想从中得出的意见池。

话虽如此，你所做的事情有两个重要的警告，它们足够重要，我认为值得尝试一下。

了解 DNSSEC 实际上保护您免受哪些伤害。

在操作系统供应商更加广泛地实施验证存根解析器之前，AD设置了（已验证数据）位的回复包基本上是这样的：

“我相信这些数据，所以你也可以相信这些数据！……如果你相信我，以及我们之间的网络“”。

请仔细阅读。如果您的目标是“避免”必须在内部实现这些功能，请确保您了解 DNSSEC 能为您带来什么。大多数人都不知道。这意味着您可以更好地抵御针对偏僻的递归 DNS 服务器，但是你仍然完全容易受到针对你的基础设施当然，有人专门针对你的可能性要低得多，但假设你不是目标，那么你就会损失多少以及某人对此的兴趣也会增加。

如果您与执行验证的递归服务器之间的网络路径不跨越互联网，则这些风险会大大降低。不过，这与外包是相互排斥的，除非流量本身实际上被加密。

附注：OpenDNS 确实实现了域名加密如果您有兴趣利用它，但要走这条路，您必须确定实施和支持它的复杂程度与仅执行您自己的 DNSSEC 验证相比是否值得成本：收益比。

你得到你所付出的。

这是企业 IT 环境的普遍规则。它在这里也适用，这应该不足为奇。如果您在网络基础设施中引入外部依赖，当该服务出现故障时会发生什么？您的补救途径是什么？谁来支付损失？如果服务从其他人的角度来看是正常的，但以一种只影响您环境的方式出现故障，您能指望远程方多快认真对待您的意见并进行修复（SLA）？

如果您要创建这种依赖关系，请确保以某种方式为服务付费。在不订阅任何内容的情况下向网络添加外部依赖关系，您总是会放弃一些东西，而不这样做的选择会权衡您的胜算。

全面披露

我是一家美国 MSO 的 DNS 运营商。话虽如此，像我这样的人实际上不会从您遵循此建议中获得经济利益。从 ISP 的 DNS 集群迁移出去会减少我们管理的负载。

配置 DNS 根提示，可减少您的管理工作，并为外部 DNS 查询提供更好的可用性

对于间隔查询 DNS 转发器工作正常