hint000

Кеширующий сервер висит на порту 53 и все неизвестные запросы отправляет на сервера forwarders, а все запросы к основной зоне - на авторитативный сервер на порту 5353

В том и проблема, что на внешний запрос у вас отвечает не авторитативный сервер, а кеширующий. Ответ от кеширующего не может считаться авторитативным.

Нужен непосредственный доступ извне к авторитативному серверу.

https://help.mail.ru/biz/domain/add
https://help.reg.ru/support/pochta-i-servisy/googl...

получается в реестре доменных имен уже сгенерированы вообще все доменные имена и мы арендуем ранее сгенерированное имя?

Это нужно выяснять у древнегреческого философа Платона, существует ли каждая идея в мире идей ещё до того, как она пришла кому-то в голову (или была сгенерирована). В нашем материальном мире невозможно сгенерировать счётное множество имён, потому что для этого потребовалось бы бесконечно много времени и бесконечно много памяти.

Домен покупают или арендуют?

Ни то, ни другое. Его регистрируют. Регистрация домена - это услуга, а не товар.

192.168.1.254 - чей адрес? Это может быть роутер на вашей стороне, который только форвардит DNS-запросы на сервер провайдера. Аналогично, это может быть роутер на удалённой стороне, который делает то же самое.

задаю "вопросы" к рабочему dns

DNS-сервер может быть рабочим, но он не обязательно что-то знает о хостах в вашей локальной сети. Выясните подробнее, что это за "рабочий сервер", как он настроен.
Даже если он имеет данные о локальной сети, он не обязан отдавать их кому попало из внешнего мира (а вы подключились по VPN и серверу никто не сказал, что вы "свой", что вам можно); эта функция DNS называется "split horizon" - локальным клиентам отдавать одно, а внешним другое.

потому что недоступен domen.local. Хотя командой пинг я вижу отклик от старого домена domen.local
Команда nslookup не видит domen.local

поскольку

переехали другой офис одного и того же холдинга,

то имеет смысл сразу навести порядок с DNS - подружить DNS domen2.local c DNS domen.local. Чтобы DNS domen2.local знал, куда форвардить запросы про domen.local.
Думаю, примерно что-то такое имел в виду Alexey Dmitriev в своём комментарии.
Вариант от Andrey Barbolin тоже рабочий и несложный. Но всё-таки это кратковременный костыль до решения проблемы. Я же предлагаю вариант, который решит навсегда будущие аналогичные проблемы.

Нет, средствами только DNS такая задача не решается.

• DNS может отдать сразу оба адреса, но тогда на совести резолвера (клиентской части DNS), какой из двух полученных адресов использовать.
  
• DNS может поочерёдно (round robin) выдавать: первый, второй, первый, второй,.. но тогда с вероятностью 50% клиент получает адрес упавшего.
  

Кроме того, на стороне клиента и на промежуточных DNS существует кэширование, и к вашему DNS даже не будет запроса, пока кэш не "прокиснет"; причём, в зависимости от настроек, кэш может даже игнорировать TTL, прописанный в вашем DNS.

Там сказано: the old and new being configuration prefixes in pdns.conf.
Ну т.е. заглядываете в pdns.conf и находите, что там как-то был прописан старый бекенд. Вот префикс оттуда и есть old. Там же по аналогии нужно прописать новый бекенд.
Дальше я воспользовался поиском:
https://yandex.ru/search/?text=pdns.conf+more+than...
перешел по ссылке https://github.com/PowerDNS/pdns/blob/master/docs/...
и прочитал:

launch

Backend names, separated by commas
Which backends to launch and order to query them in. Launches backends. In its most simple form, supply all backends that need to be launched. e.g.
launch=bind,gmysql,remote
If you find that you need to query a backend multiple times with different configuration, you can specify a name for later instantiations. e.g.:
launch=gmysql,gmysql:server2
In this case, there are 2 instances of the gmysql backend, one by the normal name and the second one is called 'server2'. The backend configuration item names change: e.g. gmysql-host is available to configure the host setting of the first or main instance, and gmysql-server2-host for the second one.
Running multiple instances of the BIND backend is not allowed.

Т.е. у вас в конфиге должно быть что-то типа:

launch=gmysql,gmysql:server2
gmysql-host=192.168.1.1
gmysql-user=...
gmysql-password=...
gmysql-dbname=...
gmysql-server2-host=192.168.2.2
gmysql-server2-user=...
gmysql-server2-password=...
gmysql-server2-dbname=...

И тогда вы запускаете
pdnsutil b2b-migrate gmysql gmysql:server2

Добавьте пункт 2.5 или 3.5:
вы прописываете новое имя домена в virtualhosts в конфиге вашего web-сервера.

В остальном годится.

Затруднение может быть лишь в том, что CNAME не работает с @.
https://stackoverflow.com/questions/3165978/in-cna...
Так что надо руками отрезовить имя ghs.googlehosted.com в адрес, и в @ прописать A-запись с этим адресом.

SRV-запись не поможет.
Разные номера портов назначайте.

Если речь о доменах второго уровня, то можете сами написать, ибо TLD не так уж много и количество TLD не растёт бесконтрольно.

Если речь о третьем уровне и дальше, то можно только верить в удачу (что вы начнёте искать и случайно прям быстро попадётся ваше слово). Централизовано информация о всех доменных именах нигде не хранится. Если я зарегистрировал домен 2-го уровня, то могу хоть каждую минуту создавать и удалять домены 3-го, 4-го,.. , 80-го,.. уровня в пределах своего 2-го уровня (и могу делать это на своём собственном DNS-сервере, никого не уведомляя). За то время, пока вы будете перебирать старые домены, будет создано столько новых, что в итоге вы никогда не разгребёте эту кучу.

borg333, домены не будут ассимилированы, сопротивление не бесполезно ;) (ЕВПОЧЯ)

Добавил ns запись но не работает

нужна A-запись, но вместо имени собака @
По этой записи будет резолвиться сама зона main.local.
Что касается main.local.main.local (хотя и непонятно нафига), то добавьте A-запись для имени main.local

Я знаю что local это не правильно.

Не надо повторять за кем-то догмы. Почему .local это не правильно? У 0.1% компаний сетевая инфраструктура организована так, что с .local они наступят на грабли. У остальных 99.9% никаких проблем нет и не будет. И это не "рулетка", адекватный админ точно знает, что в его сети нет Zeroconf. Совет от Microsoft не использовать .local - это совет "специалистам", которые понятия не имеют, что творится у них в сети. На всякий случай, чтобы имеющийся бардак не стал ещё худшим бардаком.

Если организация настолько большая, что требуется выделение отдельных, администрируемых независимо другими людьми зон (филиалов, отделов) - то да, лучше сразу задуматься о доменах третьего уровня.

Если организация настолько большая, то рядом с вами будут несколько опытных коллег, которые не абстрактно, а на реальной конфигурации объяснят, почему были приняты те или иные решения (домен 3-го уровня или 2-го уровня и многое другое). Microsoft даёт некоторые рекомендации, но они (рекомендации) не заменят мозги админа. Это даже не best practices, это точка, с которой можно начать, когда нет опыта. Но эти рекомендации не помешают наступить на грабли (другие), вот пример из недавних вопросов здесь же: https://qna.habr.com/q/1046186

Есть домен (AD), основной DNS суффикс домена - company.ru...
...
Недавно в зоне RU регистрируется доменное имя - company.ru. Зарегистрировано не нами...

Занавес.
В случае .local такой проблемы не было бы. Делаем вывод: бездумное следование рекомендациям не спасает от проблем. Даже если бы они сделали домен 3-го уровня corp.company.ru, это бы их не спасло.

https://support.microsoft.com/en-us/topic/microsof...

4. If the name is still not resolved, NetBIOS name resolution sequence is used as a backup. This order can be changed by configuring the NetBIOS node type of the client.

1) У регистратора убираю все NS записи и делаю одну А запись на свой внешний IP адрес.

Вы не сможете убрать все NS.
Без NS регистрация домена не имеет смысла, так что по-хорошему web-интерфейс регистратора не позволит это сделать.

Читайте ответ и коментарии к ответу здесь:
Как ведет себя Geolocation Route 53 и кеширование DNS при изменении IP-адреса сервера?

Если да, то от чего зависит

Если на сервере размещён всего один сайт, то да, откроется этот сайт. Но зависит от настроек web-сервера и при желании можно настроить, чтобы по IP-адресу не открывался.

Если на сервере несколько сайтов, то по IP-адресу сервер не может угадать, какой из этих сайтов нужен. Так что будет открываться всегда один, определённый настройками web-сервера. Или опять же можно настроить, чтобы никакой не открывался.