26.3. Проверка конфигурации DNS

⁠26.3. Проверка конфигурации DNS

Перед настройкой доверия необходимо убедиться, что серверы FreeIPA и AD могут разрешать себя и друг друга.

⁠26.3.1. На сервере FreeIPA

Проверить наличие записей для работы сервисов IPA на DNS-сервере IPA:

Запись отвечающая за работу сервисов Kerberos через UDP и LDAP через TCP:
```
# dig +short -t SRV _kerberos._udp.example.test
0 100 88 ipa.example.test.
# dig +short -t SRV _ldap._tcp.example.test
0 100 389 ipa.example.test.
```
В выводе команд должен быть отображен список всех серверов IPA.
Запись отвечающая за имя Kerberos realm IPA домена:
```
# dig +short -t TXT _kerberos.example.test
"EXAMPLE.TEST"
```

Наличие записей для работы сервисов AD на DNS-сервере IPA:

# dig +short -t SRV _kerberos._tcp.dc._msdcs.test.alt
0 100 88 dc1.test.alt.
# dig +short -t SRV _ldap._tcp.dc._msdcs.test.alt
0 100 389 dc1.test.alt.

Примечание

Если два первых шага не вернули все ожидаемые записи, обновите конфигурацию DNS, добавив недостающие записи:

Если в среде FreeIPA используется встроенный DNS-сервер:
```
$ ipa dns-update-system-records
```
Если в среде IPA не используется встроенный DNS-сервер. На сервере FreeIPA экспортировать записи DNS в файл:
```
# ipa dns-update-system-records --dry-run --out dns_records.nsupdate
```
Отправить запрос на обновление DNS на DNS-сервер с помощью утилиты nsupdate и файла dns_records.nsupdate. Или добавить DNS-записи на сервер другим способом.