Мы используем Active Directory. У нас есть две локальные сети в домене, одна в нашем здании и одна на Amazon. Мы используем два контроллера домена в каждой локальной сети. Все 4 из них синхронизированы через VPN.
Наша цель состояла в том, чтобы настроить сервер Bind9 и использовать его как нерекурсивный публичный DNS-форвардер для нашего домена. Два DC — рекурсивный и частный, чтобы предотвратить атаки DNS-амплификации. Один парень (который был там до меня) смог сделать это в нашей локальной сети давным-давно.
Теперь мы хотели сделать то же самое для нашей локальной сети на Amazon. Я использовал ту же конфигурацию с изменением сетевого диапазона и т. д. Но мне не удалось заставить это работать. Рекурсия включена на DC (по крайней мере, когда я пытаюсь заставить ее работать, в других случаях я отключаю ее из соображений безопасности). Я также пробовал отключить брандмауэр на сервере Bind9. Ничего не изменилось.
Я не уверен, где проблема. Поскольку у нас он работает в другой локальной сети, я думаю, что проблема не в конфигурации Bind9. Я думаю, что проблема в локальной сети или в конфигурации нашего DC. Или, может быть, просто в конфигурации системы Linux?
Может ли кто-нибудь указать мне правильное направление, что проверить/настроить?
Локальная рабочая настройка — Bind9 установлен на Ubuntu 16.04 lts
Amazon не работает настройка - Bind9 установлен на Ubuntu 20.04 lts
Вход из сервиса в рабочей сети
named[7715]: managed-keys-zone: loaded serial 3
named[7715]: zone 0.in-addr.arpa/IN: loaded serial 1
named[7715]: zone 127.in-addr.arpa/IN: loaded serial 1
named[7715]: zone localhost/IN: loaded serial 2
named[7715]: zone 255.in-addr.arpa/IN: loaded serial 1
named[7715]: zone domain.com/IN: loaded serial 875311
named[7715]: all zones loaded
named[7715]: running
named[7715]: zone domain.com/IN: sending notifies (serial 875311)
Журнал из сервиса из сети Amazon
named[1292]: managed-keys-zone: loaded serial 18
named[1292]: zone 0.in-addr.arpa/IN: loaded serial 1
named[1292]: zone 127.in-addr.arpa/IN: loaded serial 1
named[1292]: zone 255.in-addr.arpa/IN: loaded serial 1
named[1292]: zone localhost/IN: loaded serial 2
named[1292]: all zones loaded
named[1292]: running
....
named[1292]: zone domain.com/IN: Transfer started.
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: connected using 10.0.0.150#37881
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: failed while receiving responses: REFUSED
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: Transfer status: REFUSED
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.001 secs (0 bytes/sec)
именованный.conf.local
zone "domain.com" IN {
type slave;
file "fwd.domain.com";
masters { 10.0.0.15; 10.0.0.190; };
};
zone "0.0.10.in-addr.arpa" IN {
type slave;
file "rev.domain.com";
masters { 10.0.0.15; 10.0.0.190; };
};
именованные.conf.options
options {
directory "/var/cache/bind";
rate-limit{
responses-per-second 5;
};
allow-query {any;};
allow-transfer {none;};
recursion no;
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};
решение1
Решение оказалось простым: я забыл разрешить передачу зоны на DNS-сервере Windows.