单机的Bind9区域文件？

Question

安装程序是两个Active服务器，跨两个站点进行DNS复制。为了“遗留”的目的，我需要将对以前唯一的文件服务器的查询重定向到每个站点的各个副本。例如，“BIGBOX”-> 192.168.100.2用于站点A；“BIGBOX”-> 192.168.200.2用于站点B。

AD都使用特定于站点的bind9安装，或者作为转发器(WindowsServer2008r2@ site )或者使用bind_dlz组件(Samba4 @ site )。

我认为应该可以在两台BIND9机器上安装一个“BIND9”区域，指向相应的文件服务器副本。一种“分裂地平线”的场景，但没有视图，只有一个地址。

如果这是有意义的，这样的区域文件会是什么样子(NS，A记录)？

任何指点碳化硅都非常感谢！

Answer 1

我不确定我是否理解你的安排。如果我对您的理解是正确的，您将在AD中使用您的主DNS，并且只想根据子网的不同来提供不同的记录(bigbox)。

您可以像下面这样解决这个问题。在active目录中，为bigbox.domain.com创建指向绑定服务器的委托(即NS条目)。

在绑定服务器上，必须创建基于视图的安装程序。详情请参见https://kb.isc.org/article/AA-00851/0/Understanding-views-in-BIND-9-by-example.html。我想这个稍微修改过的例子应该会让您开始：

# named.example02.conf

acl subnetA { 192.168.7.0/24; localhost; };
acl subnetB   { 192.168.8.0/24; };

view subnetA {
    match-clients { subnetA; };

    allow-recursion { any; };

    zone "bigbox.example.com" {
        type master;
        file "subnetA/db.bigbox.example.com";
    };
};

view subnetB {
    match-clients { subnetB; };

    allow-recursion { any; };

    zone "bigbox.example.com" {
        type master;
        file "subnetB/db.bigbox.example.com";
    };
};

然后只创建两个区域，只包含SOA、NS和一个A记录。他们之间唯一的区别应该是A记录！存储为subnetA/db.bigbox.example.com和subnetB/db.bigbox.example.com。

;
; BIND data file for local loopback interface
;
$TTL    604800
@       IN      SOA     bind.example.com. root.bigbox.example.com. (
                              1         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      bind.example.com.

;change this IP depending on view
bigbox     IN      A       192.168.1.21

Answer 2

好的。我有一些时间在生产环境中处理这个问题，这就是工作原理:在两个子网中为‘BIGBOX.adDomain.domain.com’提供权威的bind9区域文件，每个子网都有一个空的A记录，用于相应的文件服务器地址。

如果服务器NS1位于192.168.100.0/24，则指向文件服务器FS1 @ 192.168.100.2；服务器NS2在192.168.200.0/24指向FS2 @ 192.168.200.2。基本上，除了我的实际文件服务器已经存在的记录之外，还需要为假想的服务器添加一个记录。

我的DC之一是Windows框，它将BIGBOX的权限委托给NS1 (bind9 on Debian)；另一个DC运行在Debian 9上，bind9_dlz后端处理DNS。同样，Windows /bind9 9环境需要在Windows中进行委托，但它看起来没有在我的DC之间复制，所以一切都很好。