Bind9 作為 AD 的非遞歸公共 DNS 轉送器

tag-icon tag-icon networking ubuntu dns active-directory bind
Bind9 作為 AD 的非遞歸公共 DNS 轉送器

我們使用活動目錄。我們在域中有兩個本地網絡,一個在我們的大樓內,一個在亞馬遜上。我們在每個本地網路上使用兩個網域控制器。所有 4 個都透過 VPN 同步。

我們的目標是設定 Bind9 伺服器並將其用作我們網域的非遞歸公共 DNS 轉發器。這兩個DC是遞歸的和私有的,以防止DNS放大攻擊。很久以前,一個人(在我之前就在那裡)就能夠在我們的本地網路上做到這一點。

現在我們想對亞馬遜上的本地網路做同樣的事情。我使用了相同的配置並修改了網路範圍等。 DC 上啟用了遞歸(至少當我嘗試使其工作時,其他時候,出於安全考慮,我將其關閉)。我還嘗試關閉 Bind9 伺服器上的防火牆。什麼也沒有變。

我不確定,問題出在哪裡。由於我們讓它在其他本地網路上工作,我認為問題不在於 Bind9 配置。我認為問題出在本地網路或我們的 DC 配置。或者也許只是在Linux系統配置上?

誰能給我指出正確的方向來檢查/設定什麼?

本地工作設定 - Bind9 安裝在 Ubuntu 16.04 lts 上

亞馬遜無法正常工作 - Bind9 安裝在 Ubuntu 20.04 lts 上

從工作網路上的服務登入

named[7715]: managed-keys-zone: loaded serial 3
named[7715]: zone 0.in-addr.arpa/IN: loaded serial 1
named[7715]: zone 127.in-addr.arpa/IN: loaded serial 1
named[7715]: zone localhost/IN: loaded serial 2
named[7715]: zone 255.in-addr.arpa/IN: loaded serial 1
named[7715]: zone domain.com/IN: loaded serial 875311
named[7715]: all zones loaded
named[7715]: running
named[7715]: zone domain.com/IN: sending notifies (serial 875311)

從亞馬遜網路的服務登入

named[1292]: managed-keys-zone: loaded serial 18
named[1292]: zone 0.in-addr.arpa/IN: loaded serial 1
named[1292]: zone 127.in-addr.arpa/IN: loaded serial 1
named[1292]: zone 255.in-addr.arpa/IN: loaded serial 1
named[1292]: zone localhost/IN: loaded serial 2
named[1292]: all zones loaded
named[1292]: running
....  
named[1292]: zone domain.com/IN: Transfer started.
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: connected using 10.0.0.150#37881
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: failed while receiving responses: REFUSED
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: Transfer status: REFUSED
named[1292]: transfer of 'domain.com/IN' from 10.0.0.15#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.001 secs (0 bytes/sec)

命名.conf.local

zone "domain.com" IN {
    type slave;
    file "fwd.domain.com";
    masters { 10.0.0.15; 10.0.0.190; };
};

zone "0.0.10.in-addr.arpa" IN {
    type slave;
    file "rev.domain.com"; 
    masters { 10.0.0.15; 10.0.0.190; };
};

命名.conf.選項

options {
        directory "/var/cache/bind";
        rate-limit{
                responses-per-second 5;
        };
        allow-query {any;};
        allow-transfer {none;};
        recursion no;
        dnssec-validation auto;
        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

答案1

解決方案很簡單:我忘記在 Windows DNS 伺服器上允許區域傳輸。

相關內容