Sha*_*Hsu 1 domain-name-system active-directory delegation srv-record
继续上一个关于 Windows AD + Linux BIND 的问题。我决定创建一个子域供 AD 运行。
它是ad.wxxx.xxxxx。我的配置没问题,但我认为它不能正确完成委托工作。我在同一台服务器上有 DNS 和 AD xxx.xx.27.15,主要名称服务器wxxx.xxxxx在xxx.xx.26.1.
问题是我已经为该子域配置了一个区域,并且为 配置了一个 NS 记录和 A 记录dns.ad.wxxx.xxxxx,它们都指向xxx.xx.27.15. 我可以做nslookup,但是我不能用另一台计算机加入AD域。
当我使用 full 时ad.wxxx.xxxxx,错误消息说我没有以下子域的委派:ad.wxxx.xxxxx,并且它找不到 Active Directory 域控制器 (ADDC) 的 SRV 记录。
但是当我使用它的NetBIOS(AD)时,我可以成功加入。这里有什么问题?
我建议配置一个面向内部的转发器区域,ad.wxxx.xxxx而不是尝试将其作为NS具有A记录胶水的委托来处理。这会将子域的流量转发到上游 AD 服务器,而不是依赖其他名称服务器来追逐委托。答案仍然会被执行转发的 BIND 服务器缓存。
zone "ad.wxxx.xxxx" in {
type forward;
forwarders { ad.server.ip.here; secondary.ad.ip.here; };
};
如果您的 BIND 名称服务器仅在内部使用,这就足够了。否则,如果您希望确保外部流量不会被转发到您的 AD 服务器,您将需要研究如何设置基于源地址的视图……并记住这不是推荐的配置,就像您的BIND 服务器受到威胁,它们在您的 AD 基础架构上有一个向量。
| 归档时间: |
|
| 查看次数: |
4272 次 |
| 最近记录: |