AD용 비재귀 공용 DNS 전달자인 Bind9

우리는 Active Directory를 사용합니다. 도메인에는 두 개의 로컬 네트워크가 있습니다. 하나는 건물에 있고 다른 하나는 Amazon에 있습니다. 우리는 각 로컬 네트워크에서 두 개의 도메인 컨트롤러를 사용하고 있습니다. 4개 모두 VPN을 통해 동기화됩니다.

우리의 목표는 Bind9 서버를 설정하고 이를 도메인의 비재귀 공용 DNS 전달자로 사용하는 것이었습니다. 두 DC는 DNS 증폭 공격을 방지하기 위해 재귀적이고 비공개입니다. (저보다 먼저 있었던) 한 사람이 오래 전에 우리 로컬 네트워크에서 이 작업을 수행할 수 있었습니다.

이제 우리는 Amazon의 로컬 네트워크에도 동일한 작업을 수행하고 싶었습니다. 네트워크 범위 등을 수정하여 동일한 구성을 사용했지만 작동시키지 못했습니다. 재귀는 DC에서 활성화됩니다(적어도 작동시키려고 할 때는 보안 때문에 끄는 경우도 있습니다). 또한 Bind9 서버의 방화벽을 끄려고 했습니다. 아무것도 변하지 않았다.

문제가 어디에 있는지 잘 모르겠습니다. 다른 로컬 네트워크에서 작업하고 있으므로 문제는 Bind9 구성에 있지 않은 것 같습니다. 문제는 로컬 네트워크나 DC 구성에 있는 것 같습니다. 아니면 Linux 시스템 구성에만 있습니까?

누구든지 확인/설정해야 할 올바른 방향을 알려줄 수 있습니까?

로컬 작업 설정 - Ubuntu 16.04 lts에 설치된 Bind9

Amazon이 설정이 작동하지 않음 - Ubuntu 20.04 lts에 설치된 Bind9

작동 중인 네트워크의 서비스에서 로그

named[7715]: managed-keys-zone: loaded serial 3
named[7715]: zone 0.in-addr.arpa/IN: loaded serial 1
named[7715]: zone 127.in-addr.arpa/IN: loaded serial 1
named[7715]: zone localhost/IN: loaded serial 2
named[7715]: zone 255.in-addr.arpa/IN: loaded serial 1
named[7715]: zone domain.com/IN: loaded serial 875311
named[7715]: all zones loaded
named[7715]: running
named[7715]: zone domain.com/IN: sending notifies (serial 875311)

Amazon 네트워크의 서비스에서 로그

named[1292]: managed-keys-zone: loaded serial 18
named[1292]: zone 0.in-addr.arpa/IN: loaded serial 1
named[1292]: zone 127.in-addr.arpa/IN: loaded serial 1
named[1292]: zone 255.in-addr.arpa/IN: loaded serial 1
named[1292]: zone localhost/IN: loaded serial 2
named[1292]: all zones loaded
named[1292]: running
....  
named[1292]: zone domain.com/IN: Transfer started.
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: connected using 10.0.0.150#37881
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: failed while receiving responses: REFUSED
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: Transfer status: REFUSED
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.001 secs (0 bytes/sec)

명명된.conf.local

zone "domain.com" IN {
    type slave;
    file "fwd.domain.com";
    masters { 10.0.0.15; 10.0.0.190; };
};

zone "0.0.10.in-addr.arpa" IN {
    type slave;
    file "rev.domain.com"; 
    masters { 10.0.0.15; 10.0.0.190; };
};

명명된.conf.옵션

options {
        directory "/var/cache/bind";
        rate-limit{
                responses-per-second 5;
        };
        allow-query {any;};
        allow-transfer {none;};
        recursion no;
        dnssec-validation auto;
        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};