Wir verwenden Active Directory. Wir haben zwei lokale Netzwerke in der Domäne, eines in unserem Gebäude und eines bei Amazon. Wir verwenden in jedem lokalen Netzwerk zwei Domänencontroller. Alle 4 werden über VPN synchronisiert.
Unser Ziel war es, den Bind9-Server einzurichten und ihn als nicht rekursiven öffentlichen DNS-Forwarder für unsere Domain zu verwenden. Die beiden DC sind rekursiv und privat, um DNS-Amplification-Angriffe zu verhindern. Ein Typ (der vor mir da war) konnte das vor langer Zeit in unserem lokalen Netzwerk tun.
Jetzt wollten wir dasselbe für unser lokales Netzwerk auf Amazon tun. Ich habe dieselbe Konfiguration mit Änderung des Netzwerkbereichs usw. verwendet. Aber ich konnte es nicht zum Laufen bringen. Die Rekursion ist auf DCs aktiviert (zumindest wenn ich versuche, es zum Laufen zu bringen, manchmal schalte ich es aus Sicherheitsgründen aus). Ich habe auch versucht, die Firewall auf dem Bind9-Server auszuschalten. Nichts hat sich geändert.
Ich bin nicht sicher, wo das Problem liegt. Da es bei uns in einem anderen lokalen Netzwerk funktioniert, denke ich, dass das Problem nicht in der Bind9-Konfiguration liegt. Ich denke, das Problem liegt im lokalen Netzwerk oder in unserer DC-Konfiguration. Oder vielleicht nur in der Linux-Systemkonfiguration?
Kann mir jemand sagen, was ich prüfen/einrichten soll?
Lokales Arbeitssetup - Bind9 installiert auf Ubuntu 16.04 lts
Amazon-Setup funktioniert nicht - Bind9 auf Ubuntu 20.04 lts installiert
Protokoll vom Dienst im funktionierenden Netzwerk
named[7715]: managed-keys-zone: loaded serial 3
named[7715]: zone 0.in-addr.arpa/IN: loaded serial 1
named[7715]: zone 127.in-addr.arpa/IN: loaded serial 1
named[7715]: zone localhost/IN: loaded serial 2
named[7715]: zone 255.in-addr.arpa/IN: loaded serial 1
named[7715]: zone domain.com/IN: loaded serial 875311
named[7715]: all zones loaded
named[7715]: running
named[7715]: zone domain.com/IN: sending notifies (serial 875311)
Protokoll vom Dienst aus dem Amazon-Netzwerk
named[1292]: managed-keys-zone: loaded serial 18
named[1292]: zone 0.in-addr.arpa/IN: loaded serial 1
named[1292]: zone 127.in-addr.arpa/IN: loaded serial 1
named[1292]: zone 255.in-addr.arpa/IN: loaded serial 1
named[1292]: zone localhost/IN: loaded serial 2
named[1292]: all zones loaded
named[1292]: running
....
named[1292]: zone domain.com/IN: Transfer started.
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: connected using 10.0.0.150#37881
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: failed while receiving responses: REFUSED
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: Transfer status: REFUSED
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.001 secs (0 bytes/sec)
benannt.conf.local
zone "domain.com" IN {
type slave;
file "fwd.domain.com";
masters { 10.0.0.15; 10.0.0.190; };
};
zone "0.0.10.in-addr.arpa" IN {
type slave;
file "rev.domain.com";
masters { 10.0.0.15; 10.0.0.190; };
};
benannte.conf.optionen
options {
directory "/var/cache/bind";
rate-limit{
responses-per-second 5;
};
allow-query {any;};
allow-transfer {none;};
recursion no;
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};
Antwort1
Die Lösung war einfach: Ich habe vergessen, die Zonenübertragung auf dem Windows-DNS-Server zuzulassen.