Настройка одновременной работы с несколькими внутренними доменами

Если вы подключены по VPN сразу к нескольким внутренним доменам (например поддерживаете несколько компаний использующи Active Directory и внутренние домены) и хотели бы работать с ними с использованием внутренней DNS-адресации, то вы можете настроить локальный DNS-сервер Bind и настроить пересылку DNS-запросов к серверам которые обслуживают эти внутренние зоны, если имена этих внутренних доменов конечно не пересекаются.

 
 
Логотип GITA-DEV

Автор: Черноусов Антон aka Gita-Dev
Опубликовано: 02 Сен 2018 (последние правки 1 месяц)

active directory aptitude dev git install tar ubuntu

Теперь рассмотрим на практическом примере как это сделать и первым делом мы определяем DNS-сервера обслуживающие внутренние доменные зоны:

# dig NS maximo.local | grep A

Запрос мы проводили из локальной сети компании с сервера которому уже назначены основными DNS-серверами сервера Active Directory и в результате мы получаем IP-адреса DNS-серверов внутри VPN-сети:

main-fs.maximo.local.   3600    IN      A       10.1.1.200
secondary-fs.maximo.local. 3600 IN      A       10.1.1.201

Так как домен у нас .local, то для Ubuntu-linux я рекомендую использовать мою статью: "Устранение проблем с разрешением DNS-имен для домена .local в современенных дистрибутивах Linux".

Как вы наверное догадались, я буду использовать DNS-сервер Bind. Это классика и если вам не надо чего-то уж очень специфичного, то лучше использовать именного его:

# aptitude install bind9

Настраиваем форвард внутреннего домена к заданным DNS-серверам:

zone "maximo.local" IN {
    type forward;
    forwarders { 10.1.1.200; 10.1.1.201; };
    forward only;
};

Можно настроить сколько угодно внутренних доменов и переадресовывать им обращения, после чего перезапускаем локальный Bind9-сервер командой:

# /etc/init.d/bind9 restart

Проверяем разрешение имен из зоны .local:

# nslookup esxi-01.maximo.local

При перенаправлении запросов к Windows-серверам в логах может появиться ошибка:

Jun 17 12:03:41 gita-dev-v named[32413]: insecurity proof failed resolving 'maximo.local/A/IN': 10.1.1.201#53
Jun 17 12:03:41 gita-dev-v named[32413]: validating maximo.local/A: got insecure response; parent indicates it
should be secure

В этом случае, мы просто отключим проверку dns-sec в конфигурационном файле /etc/bind/named.conf.options при помощи опции:

dnssec-validation no;

Отключать dnssec имеет смысл только на локальном DNS-форвардере, в более серьезных решениях я рекомендую все же настроить DNS-SEC, но описание настройки выходит за рамки этой заметки.

Похожие статьи

Устранение проблем с разрешением DNS-имен для домена .local в современенных дистрибутивах Linux

Устранение проблем с разрешением DNS-имен для домена .local в современенных дистрибутивах Linux

То, что мы сегодня будем разбирать - это не проблема, а просто "песня". Такого рода вопросы очень любят мои коллеги, так как они предоставляют им возможность поспорить на тему баг это или фича, перетряхнуть древние записи на Stack Overflow, разлиться мыслью по древу или банально затеять обсуждение на пару сотен комментариев под заданным в профильной группе вопросом.


Автоматическое обновление DNS-записи рабочей станции Linux при вводе в DNS-домен (No DNS domain configured for computer. Unable to perform DNS Update)

Автоматическое обновление DNS-записи рабочей станции Linux при вводе в DNS-домен (No DNS domain configured for computer. Unable to perform DNS Update)

После выхода Samba 4 ввести рабочую станцию под управлением Linux в Windows домен стало гораздо проще, но все еще переодически всплывают нестандартные ситации такие как ошибка No DNS domain configured for computer. Unable to perform DNS Update.


Настройка основного и резервного DNS-серверов с автоинкрементом серийного номера зоны на базе PowerDNS

Настройка основного и резервного DNS-серверов с автоинкрементом серийного номера зоны на базе PowerDNS

Как вы наверное знаете, вам совсем не обязательно использовать DNS-сервера провайдера для управления вашим доменом и вы можете осуществлять хостинг DNS-записей на своих собственных DNS-серверах. Такой подход дает большую гибкость в управлении DNS-зоной, но и настройка DNS-серверов работающих в режиме MASTER-SLAVE это не самая тривиальная задача. Если вы все же решили изучить этот вопрос, то вы наверное обратили внимание, что 90% статей сводятся к настройке двух DNS-серверов Bind в режиме ведущий-ведомый и может показаться, что bind это единственный Opensource DNS-сервер.


ON-Line утилиты тестирования DNS-серверов

ON-Line утилиты тестирования DNS-серверов

Так же как и в случае в почтовыми серверами, при настройке собственных DNS-серверов, вам иногда может понадобится взгляд на вашу инфраструктуру так сказать со стороны и для этого существует несколько web-сервисов которые протестируют ваши SOA-записи, проверят соответствие NS-серверов, серийные номера зоны и много других рутинных операций.


Сборка Power DNS рекусора из исходных кодов

Сборка Power DNS рекусора из исходных кодов

Сборка DNS-рекурсора особой сложности не представляет и я написал эту заметку исключительно для того чтобы в дальнейшем не мучаться с подбором необходимых для сборки зависимых пакетов


Отзывы и комментарии