> Как вторичный ДНС удостовериться что ответ пришел от первичного ДНС?
> Только по ip или может быть еще какой-нибудь механизм авторизации?
А это уже тебе лучше знать, как там у вас настроено. По умолчанию во FreeBSD'4.x идёт named.conf с закомментаренными примерами, где авторизация происходит по IP-номеру без какого-либо пароля (возможно, используется динамически генеируемый при каждом соединении пароль - ну так он сгенерится). Попробуешь - узнАешь.
PS: Кстати, есть такая технология, как NAT, позволяющая роутеры перенаправить запрос от клиента (в данном случае вторичного DNS) к серверу (первичному DNS) на др. IP-номер; при этом сервер будет думать, что к нему обращается не клиент, а Proxy-посредник (NAT-редиректор) - это важно в том плане, что на первичном DNS-сервере м.б. настроен ACL (ограничительный список) тех, кому он будет отдавать зону.
Короче говоря, тащи ящик пива админу, ставь на его территории (на его или на твоей машине) первичную DNS-зону и пробуй.
PPS: При наличии двух или более вторичных DNS-серверов зоны их можно и нужно настроить так, чтобы они не знали, кто из остальных серверов первичный, т.е. перечислить в списке "masters" всех остальных - и первичный, и остальные вторичные. Тогда при падении первичного можно любой из вторичных "произвести" в первичные, и все остальные будут брать зону с него. Но это - на будущее.