简洁版本
我如何告诉 BIND 对它是辅助主服务器的区域具有权威性?我想我理解权威性的含义,但是...可能不是。我希望它成为托管在 Windows Server 2012 Essentials DC 上的 DNS 区域的辅助服务器。
我不是 DNS 专家,但我猜我们的 Windows 服务器既充当一般出站查询的缓存 DNS 服务器,又充当多个域(但仅供内部用户使用)的主要主服务器。这些域在互联网上也有外部 DNS 服务器。我们的 LAN 上有几个网站可以从外部世界访问(通过 NAT 端口转发),但我们使用内部私有 IP 地址在内部访问它。我们在内部 DNS 上复制了这些域,但将 Web 服务器的 A 记录更改为内部 IP 地址(也许有更好的方法)。我们的 Windows DNS / AD 服务器对外界不可见。我们使用根提示,不使用 DNS 转发器。
唯一的麻烦是单个 DNS 服务器。如果 Windows 服务器因任何原因停机,我们无法从内部或外部解决任何问题。如果我需要关闭 Windows 服务器以获得支持,这对我来说最麻烦。这让我没有内部或外部解决方案。
我认为最显而易见并且希望简单的事情就是在其中一台 Linux 机器上将 BIND 设置为辅助服务器。
我已经设置了辅助主机按照此但是当我进入 Windows 并尝试告诉它“允许区域传输”、“仅传输到以下服务器”时,它告诉我“具有此 IP 地址的服务器对所需区域没有权威”。
我错过了什么?
也许我可以使用 pfSense 中的 DNS 转发器来做一些事情,但我仍然需要在某处定义内部主机名。客户端的 DNS 设置直接指向 Windows 服务器。
答案1
有充分的理由让递归查找通过 BIND,尤其是过滤和限制外部查询的能力。在当今时代,最受欢迎的 DOS 攻击似乎是 DNS 放大,这一点至关重要。此外,您可能有理由担心您的 AD 域控制器在互联网上相对开放。
您可以设置区域传输,只允许传输到您的辅助服务器。这应该可以让您对传输感到更放心。
您仍然应该至少拥有两个域控制器!但其中一个可用于外部查找。