继续关于 Windows AD + Linux BIND 的最后一个问题。我决定创建一个子域供 AD 运行。
是ad.wxxx.xxxxx
。我的配置没问题,但我认为它不能正确完成委派工作。我在 上的同一台服务器上有 DNS 和 AD,xxx.xx.27.15
的主名称服务器wxxx.xxxxx
位于xxx.xx.26.1
。
问题是我已经为该子域配置了一个区域,并为 配置了 的 NS 记录和 A 记录dns.ad.wxxx.xxxxx
,均指向xxx.xx.27.15
。我可以执行 nslookup,但无法使用另一台计算机加入 AD 域。
当我使用完整的时ad.wxxx.xxxxx
,错误消息表明我没有以下子域的委派:ad.wxxx.xxxxx
,并且找不到 Active Directory 域控制器 (ADDC) 的 SRV 记录。
但是当我使用它的 NetBIOS (AD) 时,我可以成功加入。这里有什么问题?
答案1
我建议配置一个面向内部的转发器区域,而ad.wxxx.xxxx
不是尝试NS
使用记录粘合将其作为委派来处理A
。这会将子域的流量转发到上游 AD 服务器,而不是依赖其他名称服务器来追踪委派。答案仍将被执行转发的 BIND 服务器缓存。
zone "ad.wxxx.xxxx" in {
type forward;
forwarders { ad.server.ip.here; secondary.ad.ip.here; };
};
如果您的 BIND 名称服务器仅在内部使用,那么这就足够了。否则,如果您希望确保外部流量不会转发到您的 AD 服务器,则需要研究如何设置基于源地址的视图……请记住,这不是推荐的配置,因为如果您的 BIND 服务器受到攻击,它们就会在您的 AD 基础设施上留下一个载体。