web-dev-qa-db-ja.com

バインド:サブゾーンを他のDNSサーバーに委任する方法?

BIND9 DNSサーバーが提供するワークグループからWindows Server 2008 R2ベースのADドメインに移行中です。ADインフラストラクチャの準備が整うまでBINDサーバーを使い続けたいです。

ADのセットアップ中に、dcpromoを介して、現在のDNSサーバーがADドメイン名をADサーバーに委任していることを確認する必要があるという警告が表示されます。

私のADドメインがmydomain.lanで、通常のBINDドメインがexample.comであるとします。私のBINDサーバーをlan。の権限のあるサーバーとして設定していますが、mydomain.lanを委任したいと考えています。 ADサーバーのIPに。

私のnamed.conf.localには以下が含まれます:

zone "lan" {
        type master;
        file "zone.lan";
};

そしてzone.lanには以下が含まれます:

$Origin lan.
$TTL 1H ; 1 hour
@                       IN SOA  dns.example.com. hostmaster.example.com. (
                                201008137  ; serial
                                28800      ; refresh (8 hours)
                                14400      ; retry (4 hours)
                                2419200    ; expire (4 weeks)
                                86400      ; minimum (1 day)
                                )
                        IN NS   dns.example.com.

$Origin mydomain.lan.
@                       IN NS   dc1.mydomain.lan.
dc1                     IN A    10.10.0.200 ; 'glue' record

Dns.example.comに「lan」を問い合わせると、予想どおりの回答が得られますが、「mydomain.lan」または「dc1.mydomain.lan」を問い合わせると、NXDOMAIN応答が返されます。これまでの私の試みはすべて失敗しました。

サブゾーンを適切に作成および委任するにはどうすればよいですか?

更新:もう少し情報

$ Dig mydomain.lan @dns.example.com NS +norecurse

; <<>> Dig 9.7.0-P1 <<>> @dns.example.com mydomain.lan NS +norecurse
; (3 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23380
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;mydomain.lan.          IN  NS

;; AUTHORITY SECTION:
mydomain.lan.       3600    IN  NS  dc1.mydomain.lan.

;; ADDITIONAL SECTION:
dc1.mydomain.lan.   3600    IN  A   10.10.0.200

;; Query time: 0 msec
;; SERVER: ::1#53(::1)
;; WHEN: Sun Aug 15 00:41:05 2010
;; MSG SIZE  rcvd: 64

$ Dig @dc1.mydomain.lan dc1.mydomain.lan
Dig: couldn't get address for 'dc1.mydomain.lan': not found

$ Dig @10.10.0.200 dc1.mydomain.lan

; <<>> Dig 9.7.0-P1 <<>> @10.10.0.200 dc1.mydomain.lan
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21348
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;dc1.mydomain.lan.      IN  A

;; ANSWER SECTION:
dc1.mydomain.lan.   1200    IN  A   10.10.0.200

;; Query time: 6 msec
;; SERVER: 10.10.0.200#53(10.10.0.200)
;; WHEN: Sun Aug 15 00:55:11 2010
;; MSG SIZE  rcvd: 50

$ Dig @10.10.0.200 mydomain.lan

; <<>> Dig 9.7.0-P1 <<>> @10.10.0.200 mydomain.lan
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24664
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;mydomain.lan.          IN  A

;; ANSWER SECTION:
mydomain.lan.       600 IN  A   10.10.0.200

;; Query time: 0 msec
;; SERVER: 10.10.0.200#53(10.10.0.200)
;; WHEN: Sun Aug 15 01:04:39 2010
;; MSG SIZE  rcvd: 46
4
Martijn Heemels

あなたのnamed.confに問題があります。 named.confのどこかにフォワーダーが定義されていると思います。サーバーに権限があるゾーンについては、転送をオフにする必要があります。上記のサンプルを使用して、次のように変更する必要があります。

zone "lan" {
    type master;
    file "zone.lan";
    forwarders { };
};

これを実行すれば動作するはずです。

6
jeh

ゾーンファイルに問題があります。

$Origin lan.
$TTL 1H ; 1 hour
@                       IN SOA  dns.example.com. hostmaster.example.com. (
                                201008137  ; serial
                                28800      ; refresh (8 hours)
                                14400      ; retry (4 hours)
                                2419200    ; expire (4 weeks)
                                86400      ; minimum (1 day)
                                )
                        IN NS   dns.example.com.

$Origin mydomain.lan.
@                       IN NS   dc1.mydomain.lan.
dc1                     IN A    10.10.0.200 ; 'glue' record

@は、named.confで定義されているゾーン名を参照します

zone "lan" {
        type master;
        file "zone.lan";
};

これはただのlanです。作成したレコードは

lan. IN NS dc1.nydomain.lan.

重要なレコードにはBINDショートカットを使用しない傾向があります。これは、動作を簡単に忘れたり誤解したりして、予期しない結果が生じるためです。

(おそらくこの人を助けるには遅すぎると思いますが、他の誰かがこれを見ている場合は、BINDショートカットを削除して、問題が解決するかどうかを確認してください。)

2
Laura

AD管理ゾーンのホストとして「dc1」が欠落しているようです。接着剤は信頼できるサーバーを見つけるためにのみ使用され、それらのサーバーに到達すると実際のコンテンツとしては使用されません。

探索したいかもしれませんDig +traceを使用しない場合に、照会されたサーバーを表示するには@server.name、委任チェーンが追跡されているのを確認します。

1
Phil P