如何在 BIND 伺服器上進行委託

繼續最後一個關於 Windows AD + Linux BIND 的問題。我決定為 AD 創建一個子域名來執行。

是ad.wxxx.xxxxx。我的配置沒問題，但我認為它不能正確完成委派工作。我在同一台伺服器上有 DNS 和 AD xxx.xx.27.15，主名稱伺服器wxxx.xxxxx位於xxx.xx.26.1.

問題是我已經為該子域配置了一個區域，以及一個 NS 記錄和 A 記錄dns.ad.wxxx.xxxxx，都指向xxx.xx.27.15. 我可以做 nslookup，但我不能用另一台電腦加入 AD 域。

當我使用 fullad.wxxx.xxxxx時，錯誤消息說我沒有以下子域的委派：ad.wxxx.xxxxx，並且找不到 Active Directory 域控制器 (ADDC) 的 SRV 記錄。

但是當我使用它的 NetBIOS (AD) 時，我可以成功加入。這裡有什麼問題？

我建議配置一個面向內部的轉發器區域，ad.wxxx.xxxx而不是嘗試將其作為具有記錄膠水的NS委託來處理。A這會將子域的流量轉發到上游 AD 伺服器，而不是依賴其他名稱伺服器來追逐委託。執行轉發的 BIND 伺服器仍將記憶體答案。

zone "ad.wxxx.xxxx" in {
   type forward;
   forwarders { ad.server.ip.here; secondary.ad.ip.here; };
};

如果您的 BIND 名稱伺服器僅在內部使用，這就足夠了。否則，如果您希望確保外部流量不會轉發到您的 AD 伺服器，您將需要研究如何設置基於源地址的視圖…並記住這不是推薦的配置，就好像您的BIND 伺服器受到威脅，它們在您的 AD 基礎架構上有一個向量。

引用自：https://serverfault.com/questions/475094