Как сделать делегирование на BIND сервере
Продолжая последний вопрос о Windows AD + Linux BIND. Я решил создать поддомен для запуска AD.
Это ad.wxxx.xxxxx, Моя конфигурация в порядке, но я не думаю, что она правильно выполняет делегирование. У меня DNS и AD на одном сервере xxx.xx.27.15и главный сервер имен для wxxx.xxxxx я сидела xxx.xx.26.1,
Проблема в том, что я настроил зону для этого субдомена, а также запись NS и запись A для dns.ad.wxxx.xxxxxоба указывают на xxx.xx.27.15, Я могу сделать nslookup, но не могу присоединиться к домену AD с другого компьютера.
Когда я использую полный ad.wxxx.xxxxx, сообщение об ошибке говорит, что у меня нет делегирования для следующего поддомена: ad.wxxx.xxxxxи не может найти запись SRV для контроллера домена Active Directory (ADDC).
Но когда я использую его NetBIOS (AD), я могу успешно присоединиться. В чем здесь проблема?
1 ответ
Я предлагаю настроить внутреннюю зону экспедитора для ad.wxxx.xxxx вместо того, чтобы пытаться справиться с этим как NS Делегация с A записать клей. Это будет перенаправлять трафик для субдомена на сервер AD верхнего уровня, а не полагаться на другие серверы имен, чтобы преследовать делегирование. Ответы по-прежнему будут кэшироваться сервером BIND, который выполняет пересылку.
zone "ad.wxxx.xxxx" in {
type forward;
forwarders { ad.server.ip.here; secondary.ad.ip.here; };
};
Если ваш сервер имен BIND используется только для внутренних целей, этого будет достаточно. В противном случае, если вы хотите убедиться, что внешний трафик не будет перенаправлен на ваш сервер AD, вам нужно будет посмотреть, как настроить представления на основе адреса источника... и помнить, что это не рекомендуемая конфигурация, как если бы ваша Сервер BIND скомпрометирован, у них есть вектор в вашей инфраструктуре AD.