BINDサーバーで委任を行う方法
windows AD + LinuxBINDに関する最後の質問を続けます。 ADを実行するためのサブダメインを作成することにしました。
ad.wxxx.xxxxxです。私の構成は問題ありませんが、委任の仕事が正しく行われていないと思います。 xxx.xx.27.15の同じサーバーにDNSとADがあり、wxxx.xxxxxのメインネームサーバーはxxx.xx.26.1にあります。
問題は、そのサブドメインのゾーンを構成し、NSレコードとdns.ad.wxxx.xxxxxのAレコード、両方ともxxx.xx.27.15を指していることです。nslookupを実行できます。しかし、ADドメインに別のコンピューターで参加することはできません。
完全なad.wxxx.xxxxxを使用している場合、次のサブドメインの委任がないというエラーメッセージが表示されます:ad.wxxx.xxxxx、Active Directoryドメインコントローラー(ADDC)のSRVレコードが見つかりません。
しかし、そのNetBIOS(AD)を使用すると、正常に参加できます。ここで何が問題なのですか?
NSレコードグルーを使用してA委任として処理しようとするのではなく、ad.wxxx.xxxxの内部向けフォワーダーゾーンを構成することをお勧めします。これにより、他のネームサーバーに依存して委任を追跡する代わりに、サブドメインのトラフィックがアップストリームADサーバーに転送されます。回答は、転送を実行するBINDサーバーによって引き続きキャッシュされます。
zone "ad.wxxx.xxxx" in {
type forward;
forwarders { ad.server.ip.here; secondary.ad.ip.here; };
};
BINDネームサーバーが内部でのみ使用されている場合は、これで十分です。それ以外の場合、外部トラフィックがADサーバーに転送されないようにする場合は、送信元アドレスベースのビューを設定する方法を調べる必要があります...これは推奨される構成ではないことに注意してください。 BINDサーバーが危険にさらされ、ADインフラストラクチャにベクトルがあります。