продолжая последний вопрос о Windows AD + Linux BIND. Я решил создать подкладку для работы AD.
Это ad.wxxx.xxxxx. Моя конфигурация в порядке, но я не думаю, что она правильно выполняет задачу делегирования. У меня есть DNS и AD на одном сервере в xxx.xx.27.15, и главный сервер имен для wxxx.xxxxx Я сидел xxx.xx.26.1.
Проблема в том, что я настроил зону для этого поддомена, а также запись NS и запись A для dns.ad.wxxx.xxxxx, оба указывают на xxx.xx.27.15. Я могу выполнить nslookup, но не могу присоединиться к домену AD с другим компьютером.
Когда я использую полную ad.wxxx.xxxxx, в сообщении об ошибке говорится, что у меня нет делегирования для следующего поддомена: ad.wxxx.xxxxx, и он не может найти запись SRV для контроллера домена Active Directory (ADDC).
Но когда я использую его NetBIOS (AD), я могу успешно присоединиться. В чем проблема?
Я предлагаю настроить внутреннюю зону пересылки для ad.wxxx.xxxx вместо того, чтобы обращаться с этим как с NS делегация с A клей для записи. Это перенаправит трафик для поддомена на вышестоящий сервер AD вместо того, чтобы полагаться на другие серверы имен для отслеживания делегирования. Ответы по-прежнему будут кэшироваться сервером BIND, который выполняет пересылку.
zone "ad.wxxx.xxxx" in {
type forward;
forwarders { ad.server.ip.here; secondary.ad.ip.here; };
};
Если ваш сервер имен BIND используется только для внутренних целей, этого будет достаточно. В противном случае, если вы хотите убедиться, что внешний трафик не перенаправляется на ваш сервер AD, вам нужно будет изучить, как настроить представления на основе адреса источника ... и имейте в виду, что это не рекомендуемая конфигурация, как если бы ваша Сервер BIND скомпрометирован, так как он является вектором вашей инфраструктуры AD.