web-dev-qa-db-ja.com

BINDサーバーで委任を行う方法

windows AD + LinuxBINDに関する最後の質問を続けます。 ADを実行するためのサブダメインを作成することにしました。

ad.wxxx.xxxxxです。私の構成は問題ありませんが、委任の仕事が正しく行われていないと思います。 xxx.xx.27.15の同じサーバーにDNSとADがあり、wxxx.xxxxxのメインネームサーバーはxxx.xx.26.1にあります。

問題は、そのサブドメインのゾーンを構成し、NSレコードとdns.ad.wxxx.xxxxxのAレコード、両方ともxxx.xx.27.15を指していることです。nslookupを実行できます。しかし、ADドメインに別のコンピューターで参加することはできません。

完全なad.wxxx.xxxxxを使用している場合、次のサブドメインの委任がないというエラーメッセージが表示されます:ad.wxxx.xxxxx、Active Directoryドメインコントローラー(ADDC)のSRVレコードが見つかりません。

しかし、そのNetBIOS(AD)を使用すると、正常に参加できます。ここで何が問題なのですか?

1
Shane Hsu

NSレコードグルーを使用してA委任として処理しようとするのではなく、ad.wxxx.xxxxの内部向けフォワーダーゾーンを構成することをお勧めします。これにより、他のネームサーバーに依存して委任を追跡する代わりに、サブドメインのトラフィックがアップストリームADサーバーに転送されます。回答は、転送を実行するBINDサーバーによって引き続きキャッシュされます。

zone "ad.wxxx.xxxx" in {
    type forward;
    forwarders { ad.server.ip.here; secondary.ad.ip.here; };
};

BINDネームサーバーが内部でのみ使用されている場合は、これで十分です。それ以外の場合、外部トラフィックがADサーバーに転送されないようにする場合は、送信元アドレスベースのビューを設定する方法を調べる必要があります...これは推奨される構成ではないことに注意してください。 BINDサーバーが危険にさらされ、ADインフラストラクチャにベクトルがあります。

6
Andrew B