Domain-Name-System

如何在 BIND 伺服器上進行委託

  • February 4, 2013

繼續最後一個關於 Windows AD + Linux BIND 的問題。我決定為 AD 創建一個子域名來執行。

ad.wxxx.xxxxx。我的配置沒問題,但我認為它不能正確完成委派工作。我在同一台伺服器上有 DNS 和 AD xxx.xx.27.15,主名稱伺服器wxxx.xxxxx位於xxx.xx.26.1.

問題是我已經為該子域配置了一個區域,以及一個 NS 記錄和 A 記錄dns.ad.wxxx.xxxxx,都指向xxx.xx.27.15. 我可以做 nslookup,但我不能用另一台電腦加入 AD 域。

當我使用 fullad.wxxx.xxxxx時,錯誤消息說我沒有以下子域的委派:ad.wxxx.xxxxx,並且找不到 Active Directory 域控制器 (ADDC) 的 SRV 記錄。

但是當我使用它的 NetBIOS (AD) 時,我可以成功加入。這裡有什麼問題?

我建議配置一個面向內部的轉發器區域,ad.wxxx.xxxx而不是嘗試將其作為具有記錄膠水的NS委託來處理。A這會將子域的流量轉發到上游 AD 伺服器,而不是依賴其他名稱伺服器來追逐委託。執行轉發的 BIND 伺服器仍將記憶體答案。

zone "ad.wxxx.xxxx" in {
   type forward;
   forwarders { ad.server.ip.here; secondary.ad.ip.here; };
};

如果您的 BIND 名稱伺服器僅在內部使用,這就足夠了。否則,如果您希望確保外部流量不會轉發到您的 AD 伺服器,您將需要研究如何設置基於源地址的視圖…並記住這不是推薦的配置,就好像您的BIND 伺服器受到威脅,它們在您的 AD 基礎架構上有一個向量。

引用自:https://serverfault.com/questions/475094