如何在 BIND 服务器上进行委派

如何在 BIND 服务器上进行委派

继续关于 Windows AD + Linux BIND 的最后一个问题。我决定创建一个子域供 AD 运行。

ad.wxxx.xxxxx。我的配置没问题,但我认为它不能正确完成委派工作。我在 上的同一台服务器上有 DNS 和 AD,xxx.xx.27.15的主名称服务器wxxx.xxxxx位于xxx.xx.26.1

问题是我已经为该子域配置了一个区域,并为 配置了 的 NS 记录和 A 记录dns.ad.wxxx.xxxxx,均指向xxx.xx.27.15。我可以执行 nslookup,但无法使用另一台计算机加入 AD 域。

当我使用完整的时ad.wxxx.xxxxx,错误消息表明我没有以下子域的委派:ad.wxxx.xxxxx,并且找不到 Active Directory 域控制器 (ADDC) 的 SRV 记录。

但是当我使用它的 NetBIOS (AD) 时,我可以成功加入。这里有什么问题?

答案1

我建议配置一个面向内部的转发器区域,而ad.wxxx.xxxx不是尝试NS使用记录粘合将其作为委派来处理A。这会将子域的流量转发到上游 AD 服务器,而不是依赖其他名称服务器来追踪委派。答案仍将被执行转发的 BIND 服务器缓存。

zone "ad.wxxx.xxxx" in {
    type forward;
    forwarders { ad.server.ip.here; secondary.ad.ip.here; };
};

如果您的 BIND 名称服务器仅在内部使用,那么这就足够了。否则,如果您希望确保外部流量不会转发到您的 AD 服务器,则需要研究如何设置基于源地址的视图……请记住,这不是推荐的配置,因为如果您的 BIND 服务器受到攻击,它们就会在您的 AD 基础设施上留下一个载体。

相关内容