Bind9 作为 AD 的非递归公共 DNS 转发器

tag-icon tag-icon networking ubuntu dns active-directory bind
Bind9 作为 AD 的非递归公共 DNS 转发器

我们使用 Active Directory。我们在域中有两个本地网络,一个在我们的大楼里,一个在亚马逊上。我们在每个本地网络上使用两个域控制器。所有 4 个都通过 VPN 同步。

我们的目标是设置 Bind9 服务器并将其用作我们域的非递归公共 DNS 转发器。这两个 DC 是递归的和私有的,以防止 DNS 放大攻击。很久以前,一个家伙(在我之前就在那里)就能够在我们的本地网络上做到这一点。

现在我们想对 Amazon 上的本地网络做同样的事情。我使用了相同的配置,并修改了网络范围等。但我无法让它工作。DC 上启用了递归(至少在我尝试让它工作时,其他时候,我会出于安全考虑将其关闭)。我还尝试关闭 Bind9 服务器上的防火墙。什么都没有改变。

我不确定问题出在哪里。由于我们在其他本地网络上也可以使用,所以我认为问题不在于 Bind9 配置。我认为问题出在本地网络或我们的 DC 配置上。或者可能只是 Linux 系统配置?

有人能指出我应该检查/设置的正确方向吗?

本地工作设置 - 安装在 Ubuntu 16.04 lts 上的 Bind9

Amazon 无法正常工作 - Bind9 安装在 Ubuntu 20.04 lts 上

从工作网络上的服务登录

named[7715]: managed-keys-zone: loaded serial 3
named[7715]: zone 0.in-addr.arpa/IN: loaded serial 1
named[7715]: zone 127.in-addr.arpa/IN: loaded serial 1
named[7715]: zone localhost/IN: loaded serial 2
named[7715]: zone 255.in-addr.arpa/IN: loaded serial 1
named[7715]: zone domain.com/IN: loaded serial 875311
named[7715]: all zones loaded
named[7715]: running
named[7715]: zone domain.com/IN: sending notifies (serial 875311)

从亚马逊网络服务登录

named[1292]: managed-keys-zone: loaded serial 18
named[1292]: zone 0.in-addr.arpa/IN: loaded serial 1
named[1292]: zone 127.in-addr.arpa/IN: loaded serial 1
named[1292]: zone 255.in-addr.arpa/IN: loaded serial 1
named[1292]: zone localhost/IN: loaded serial 2
named[1292]: all zones loaded
named[1292]: running
....  
named[1292]: zone domain.com/IN: Transfer started.
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: connected using 10.0.0.150#37881
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: failed while receiving responses: REFUSED
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: Transfer status: REFUSED
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.001 secs (0 bytes/sec)

命名的.conf.本地

zone "domain.com" IN {
    type slave;
    file "fwd.domain.com";
    masters { 10.0.0.15; 10.0.0.190; };
};

zone "0.0.10.in-addr.arpa" IN {
    type slave;
    file "rev.domain.com"; 
    masters { 10.0.0.15; 10.0.0.190; };
};

命名的.conf.选项

options {
        directory "/var/cache/bind";
        rate-limit{
                responses-per-second 5;
        };
        allow-query {any;};
        allow-transfer {none;};
        recursion no;
        dnssec-validation auto;
        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

答案1

解决方案很简单:我忘了在 Windows DNS 服务器上允许区域传输。

相关内容