Domain-Name-System
如何在 BIND 伺服器上進行委託
繼續最後一個關於 Windows AD + Linux BIND 的問題。我決定為 AD 創建一個子域名來執行。
是
ad.wxxx.xxxxx
。我的配置沒問題,但我認為它不能正確完成委派工作。我在同一台伺服器上有 DNS 和 ADxxx.xx.27.15
,主名稱伺服器wxxx.xxxxx
位於xxx.xx.26.1
.問題是我已經為該子域配置了一個區域,以及一個 NS 記錄和 A 記錄
dns.ad.wxxx.xxxxx
,都指向xxx.xx.27.15
. 我可以做 nslookup,但我不能用另一台電腦加入 AD 域。當我使用 full
ad.wxxx.xxxxx
時,錯誤消息說我沒有以下子域的委派:ad.wxxx.xxxxx
,並且找不到 Active Directory 域控制器 (ADDC) 的 SRV 記錄。但是當我使用它的 NetBIOS (AD) 時,我可以成功加入。這裡有什麼問題?
我建議配置一個面向內部的轉發器區域,
ad.wxxx.xxxx
而不是嘗試將其作為具有記錄膠水的NS
委託來處理。A
這會將子域的流量轉發到上游 AD 伺服器,而不是依賴其他名稱伺服器來追逐委託。執行轉發的 BIND 伺服器仍將記憶體答案。zone "ad.wxxx.xxxx" in { type forward; forwarders { ad.server.ip.here; secondary.ad.ip.here; }; };
如果您的 BIND 名稱伺服器僅在內部使用,這就足夠了。否則,如果您希望確保外部流量不會轉發到您的 AD 伺服器,您將需要研究如何設置基於源地址的視圖…並記住這不是推薦的配置,就好像您的BIND 伺服器受到威脅,它們在您的 AD 基礎架構上有一個向量。