Como fazer delegação no servidor BIND

Question

Como fazer delegação no servidor BIND

#1 resposta do (5 votos)

1

continuando a última pergunta sobre o Windows AD + Linux BIND. Eu decidi criar um sub-domínio para o AD rodar.

É ad.wxxx.xxxxx . Minha configuração está bem, mas não acho que o trabalho de delegação esteja correto. Eu tenho DNS e AD no mesmo servidor em xxx.xx.27.15 , e o servidor de nomes principal para wxxx.xxxxx está em xxx.xx.26.1 .

O problema é que eu configurei uma zona para esse subdomínio e um registro NS e um registro para dns.ad.wxxx.xxxxx , ambos apontando para xxx.xx.27.15 . Eu posso fazer o nslookup, mas não consigo entrar no domínio do AD com outro computador.

Quando estou usando o ad.wxxx.xxxxx completo, a mensagem de erro informa que não tenho delegação para o subdomínio a seguir: ad.wxxx.xxxxx e não é possível encontrar o registro SRV do ADDC (controlador de domínio do Active Directory).

Mas quando eu uso seu NetBIOS (AD), posso ingressar com sucesso. Qual é o problema aqui?

active-directory domain-name-system srv-record delegation

por Shane Hsu 04.02.2013 / 07:26

1 resposta

Tags active-directory domain-name-system srv-record delegation

Configure iptables por SSH sem ser bloqueado? MariaDB / MySQL usando muitos threads / memória

score 5 · Accepted Answer

Sugiro configurar uma zona de encaminhamento voltada internamente para ad.wxxx.xxxx em vez de tentar manipulá-la como uma delegação NS com A de cola de registro. Isso encaminhará o tráfego do subdomínio para o servidor AD do upstream em vez de confiar em outros servidores de nomes para perseguir a delegação. As respostas ainda serão armazenadas em cache pelo servidor BIND que realiza o encaminhamento.

zone "ad.wxxx.xxxx" in {
    type forward;
    forwarders { ad.server.ip.here; secondary.ad.ip.here; };
};

Se o seu servidor de nomes BIND for usado apenas internamente, isso será suficiente. Caso contrário, se você deseja garantir que o tráfego externo não seja encaminhado para o servidor do AD, será necessário verificar como configurar as exibições baseadas no endereço de origem ... e tenha em mente que essa não é uma configuração recomendada, como se O servidor BIND fica comprometido com um vetor na sua infraestrutura do AD.