绑定为辅助DNS到Windows 2012。Windows抱怨BIND“不具有权威性”。

Question

短版

我如何告诉BIND是一个区域的权威，它是一个次要的主人？我想我理解权威的含义但是..。也许不会。我希望它是托管在WindowsServer2012EssentsDC上的DNS区域的次要部分。

我不是DNS专家，但我想我们的Windows服务器既是用于一般出站查询的缓存DNS服务器，也是几个域的主要主服务器，但仅用于内部用户。这些域还在互联网上有外部DNS服务器。我们的局域网上有几个网站可以从外部世界访问(通过NAT端口转发)，但是我们通过内部私有IP地址访问它。我们在内部DNS上复制了这些域，但是将web服务器的A记录更改为内部IP地址(也许有更好的方法)。我们的Windows DNS / AD服务器在外部是不可见的。我们使用根提示，没有DNS转发器。

唯一的麻烦是单个DNS服务器。如果Windows服务器因任何原因而关闭，我们无法在内部或外部解决任何问题。如果我需要关闭Windows服务器以获得支持，这对我来说主要是个麻烦。这使我没有内部或外部的解决办法。

我想最简单的事情就是在其中一台Linux机器上将BIND设置为辅助服务器。

我已经通过遵循这一点设置了一个辅助主机，但当我转到Windows并试图告诉它“允许区域传输”，“只允许以下服务器”时，它告诉我“具有此IP地址的服务器对所需区域不具有权威性”。

我遗漏了什么？

也许我可以用pfSense中的DNS转发器做一些事情，但我仍然需要在某个地方定义内部主机名。客户端的DNS设置直接指向Windows服务器。

Answer 1

有很好的理由让递归查找通过BIND，特别是过滤和速率限制外部查询的能力。在当前最受欢迎的DOS攻击似乎是DNS放大的时代，这是至关重要的。此外，您可能有理由担心您的AD域控制器在Internet上相对开放。

您可以将区域传输设置为只允许传输到次要区域。这应该会让你对xfer感觉更好。

您仍然应该至少有两个域控制器！但并不是这样，一个是可用的外部查找。

也可以看到这个线程如何使绑定和微软很好地协同工作？