Unbound DNS: как запрашивать пересылку только после сбоя прямого запроса NS

По умолчанию сервер Unbound DNS работает по "классической" схеме: запрашивает у корневых серверов записи NS зоны, а затем запрашивает NS для A/AAAA/...

Иногда (редко) соединение между моим DNS и целевыми NS не удается, но целевые NS все еще доступны из различных LookingGlasses и из Google/ DNS уровня 3, так что "nslookup www.target.com 8.8.8.8" и "nslookup www.target.com 4.2.2.2"возвращает правильный ответ.

Как настроить Unbound для использования общедоступных серверов пересылки, когда (и только после) прямой запрос к целевым NS'ам не удался? Следующий конфиг работает нормально, но сразу направляет все запросы к серверам пересылки, игнорируя целевые NS'ы вообще:

forward-zone:
    name: "."
    forward-first: no
    forward-addr: 8.8.8.8
    forward-addr: 4.2.2.2