Product SiteDocumentation Site

Глава 25. Настройка DNS

25.1. Настройка зоны пересылки на сервере FreeIPA
25.2. Настройка условной пересылки в AD
25.2.1. Samba в роли контроллера домена (BIND9_DLZ)
25.2.2. Windows Server с AD
25.3. Проверка конфигурации DNS
25.3.1. На сервере FreeIPA
25.3.2. На сервере AD
Перед настройкой доверия необходимо убедиться, что серверы FreeIPA и AD корректно разрешают доменные имена друг друга.
В этом сценарии описывается настройка DNS для разрешения доменных имен между:
  • основной сервер FreeIPA, использующий встроенный сервер DNS и CA;
  • контроллер домена AD.
Для настройки DNS необходимо:
  • настроить зону пересылки на сервере FreeIPA для домена AD;
  • настроить условную пересылку на стороне AD для домена FreeIPA;
  • проверить корректность DNS-записей.

25.1. Настройка зоны пересылки на сервере FreeIPA

Зона пересылки позволяет направлять DNS-запросы для домена test.alt на DNS-сервер AD (192.168.0.132).
Настройка зоны пересылки в веб-интерфейсе FreeIPA:
  1. Перейти на вкладку Сетевые службы.
  2. В выпадающем меню выбрать DNSЗоны перенаправления DNS:
    Веб-интерфейс FreeIPA. Вкладка Сетевые службы
  3. Нажать кнопку Добавить.
  4. В диалоговом окне Добавить зону перенаправления DNS добавить имя зоны (test.alt).
  5. В строке Перенаправители зон нажать кнопку Добавить.
  6. В поле Перенаправители зон добавить IP-адрес сервера, для которого создается зона пересылки (192.168.0.132):
    Добавление зоны пересылки DNS
  7. Нажать кнопку Добавить. Зона перенаправления DNS будет пересылки:
    Зоны перенаправления DNS
Настройка зоны пересылки в командной строке (указать IP-адрес удалённого DNS-сервера в параметре --forwarder): 
$ kinit admin
$ ipa dnsforwardzone-add test.alt --forwarder=192.168.0.132 --forward-policy=first
Сервер проверит DNS-перенаправитель (перенаправители).
Это может занять некоторое время; пожалуйста, подождите...
Имя зоны: test.alt.
Активная зона: TRUE
Перенаправители зон: 192.168.0.132
Политика перенаправления: first

Примечание

Если при добавлении зоны перенаправления появляется предупреждение об ошибке проверки DNSSEC, это означает, что удалённый DNS-сервер не поддерживает DNSSEC. Рекомендуется включить DNSSEC на удалённом DNS-сервере.
Если включить DNSSEC на стороне AD невозможно, можно отключить его на сервере FreeIPA. Для этого в файле /etc/bind/ipa-options-ext.conf следует привести параметр dnssec-validation к виду: 
dnssec-validation no;
И перезапустить службу DNS: 
# systemctl restart bind.service
Проверка настройки: 
$ dig dc1.test.alt +noall +answer
dc1.test.alt.       709 IN  A   192.168.0.132