FreeIPA 无法自行解决

FreeIPA 无法自行解决

我计划使用 FreeIPA 作为我网络的权威 DNS 服务器。所有其他记录都可以正常解析,但是 FreeIPA 无法自行解析。

运行dig ipa-hermes.lan.example.com未产生 A 记录

bash-5.1# dig ipa-hermes.lan.example.com @10.0.1.14

; <<>> DiG 9.16.19 <<>> ipa-hermes.lan.example.com @10.0.1.14
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 41126
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 807dd469a5469a178451c9da61831d41ae78b56eaed7d5e2 (good)
;; QUESTION SECTION:
;ipa-hermes.lan.example.com. IN A

;; AUTHORITY SECTION:
example.com.  3600    IN      SOA     ipa-hermes.lan.example.com. hostmaster.example.com. 1635981510 3600 900 1209600 3600

;; Query time: 0 msec
;; SERVER: 10.0.1.14#53(10.0.1.14)
;; WHEN: Wed Nov 03 23:37:37 UTC 2021
;; MSG SIZE  rcvd: 140

从 IPA 服务器 shell 中 pingipa-hermes.lan.example.com返回正确的地址,但这是因为127.0.0.53当我没有指定服务器时它用作 DNS。

此外,我在 OPNSense 上有一个 Unbound(目前未使用,因为 DHCP 将 DNS 设置为 FreeIPA 服务器)。使用此服务器运行 dig 会返回正确的 A 记录。

bash-5.1# dig ipa-hermes.lan.example.com @10.0.0.1

; <<>> DiG 9.16.19 <<>> ipa-hermes.lan.example.com @10.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12014
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;ipa-hermes.lan.example.com. IN A

;; ANSWER SECTION:
ipa-hermes.lan.example.com. 3600 IN A 10.0.1.14

;; Query time: 0 msec
;; SERVER: 10.0.0.1#53(10.0.0.1)
;; WHEN: Wed Nov 03 23:43:00 UTC 2021
;; MSG SIZE  rcvd: 81

查看 IPA 服务器上的记录,它确实在那里。

❯ ipa dnsrecord-find
Zone name: lan.example.com
  Record name: @
  A record: 10.0.0.1
  NS record: ipa-hermes.lan.example.com.

  ...other records

  Record name: ipa-ca
  A record: 10.0.1.14

  Record name: ipa-hermes
  A record: 10.0.1.14

  Record name: test
  A record: 10.0.2.2
-----------------------------
Number of entries returned 19
-----------------------------

关于为什么它不起作用,我还遗漏了什么吗?

答案1

127.0.0.53需要指向 IPA 服务器本身;我不太熟悉 Ubuntu 操作系统,但我相信这是在 中设置的/etc/netplan/*。根据安装文档,您的主 DNS 服务器应该是127.0.0.1,而辅助 DNS 服务器应该是您的第二个 IPA 服务器。设置完成后,运行sudo netplan apply

您至少应该有两个 IPA 服务器,以便它们可以相互引用并提供故障转移功能。

请参阅 Red Hat 的指南为 IPA 配置 DNS看看这是否能帮助你

相关内容