AD の非再帰パブリック DNS フォワーダーとしての Bind9

tag-icon tag-icon networking ubuntu dns active-directory bind
AD の非再帰パブリック DNS フォワーダーとしての Bind9

当社では Active Directory を使用しています。ドメインには 2 つのローカル ネットワークがあり、1 つは当社の建物内、もう 1 つは Amazon にあります。各ローカル ネットワークで 2 つのドメイン コントローラーを使用しています。これら 4 つはすべて VPN 経由で同期されています。

私たちの目標は、Bind9 サーバーをセットアップし、それを私たちのドメインの非再帰パブリック DNS フォワーダーとして使用することでした。2 つの DC は、DNS 増幅攻撃を防ぐために再帰的かつプライベートです。私より前にそこにいた人が、ずっと前に私たちのローカル ネットワークでそれを実行することができました。

今度は、Amazon のローカル ネットワークでも同じことをしたいと考えました。ネットワーク範囲などを変更した同じ構成を使用しましたが、うまくいきませんでした。DC では再帰が有効になっています (少なくとも動作させようとしているときは有効ですが、それ以外のときはセキュリティ上の理由で無効にしています)。Bind9 サーバーのファイアウォールも無効にしてみました。何も変わりませんでした。

どこに問題があるのか​​わかりません。他のローカル ネットワークでは動作しているので、Bind9 構成に問題があるのではないと思います。問題はローカル ネットワークか DC 構成にあると思います。あるいは、Linux システム構成だけにあるのでしょうか?

何をチェック/設定すればよいのか、正しい方向を教えていただけますか?

ローカル作業セットアップ - Ubuntu 16.04 lts に Bind9 をインストール

Amazon がセットアップできない - Ubuntu 20.04 lts に Bind9 がインストールされている

稼働中のネットワーク上のサービスからのログ

named[7715]: managed-keys-zone: loaded serial 3
named[7715]: zone 0.in-addr.arpa/IN: loaded serial 1
named[7715]: zone 127.in-addr.arpa/IN: loaded serial 1
named[7715]: zone localhost/IN: loaded serial 2
named[7715]: zone 255.in-addr.arpa/IN: loaded serial 1
named[7715]: zone domain.com/IN: loaded serial 875311
named[7715]: all zones loaded
named[7715]: running
named[7715]: zone domain.com/IN: sending notifies (serial 875311)

Amazon ネットワークのサービスからのログ

named[1292]: managed-keys-zone: loaded serial 18
named[1292]: zone 0.in-addr.arpa/IN: loaded serial 1
named[1292]: zone 127.in-addr.arpa/IN: loaded serial 1
named[1292]: zone 255.in-addr.arpa/IN: loaded serial 1
named[1292]: zone localhost/IN: loaded serial 2
named[1292]: all zones loaded
named[1292]: running
....  
named[1292]: zone domain.com/IN: Transfer started.
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: connected using 10.0.0.150#37881
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: failed while receiving responses: REFUSED
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: Transfer status: REFUSED
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.001 secs (0 bytes/sec)

名前付き.conf.local

zone "domain.com" IN {
    type slave;
    file "fwd.domain.com";
    masters { 10.0.0.15; 10.0.0.190; };
};

zone "0.0.10.in-addr.arpa" IN {
    type slave;
    file "rev.domain.com"; 
    masters { 10.0.0.15; 10.0.0.190; };
};

名前付きconfオプション

options {
        directory "/var/cache/bind";
        rate-limit{
                responses-per-second 5;
        };
        allow-query {any;};
        allow-transfer {none;};
        recursion no;
        dnssec-validation auto;
        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

答え1

解決策は簡単でした。Windows DNS サーバーでゾーン転送を許可するのを忘れていたのです。

関連情報