6

我使用 Bind9 作为我办公室的 DNS 服务器。

我们有一个区域:example.com。这必须从我们的 DNS 服务器作为权威解析。

另一方面,我们有一个 sub.example.com。zone,必须转发到其他 DNS 服务器。

当我们在 example.com 上查询任何记录时,绑定答案属性。区。但它对 sub.example.com 的查询失败。因为它不进行转发。它继续在本地寻找答案。

这是 named.conf 文件

zone "sub.example.com" IN { type forward;
        forwarders {172.21.238.229;172.21.238.230;};
        forward only;
};


zone "example.com" {
        type master;
        forwarders {};
        file "/etc/named/example.com.db";
};

这是 example.com.db 文件内容:

$ORIGIN example.com.
$TTL 1W
@   IN  SOA     dnsldes.example.com. postmaster.example.com. (
                               6            ; serial number
                               3600         ; refresh   [1h]
                               600          ; retry     [10m]
                               86400        ; expire    [1d]
                               3600 )       ; min TTL   [1h]
;


      IN     NS      dnsldes.example.com.

bdred           IN      A       172.22.2.150
dnsldes IN      A       172.21.229.159

这是使用 dig 客户端进行 bdred.example.com 查询的输出(没问题):

; <<>> DiG 9.8.1-P1 <<>> bdred.sub.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 9764
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;bdred.sub.example.com.         IN      A

;; AUTHORITY SECTION:
example.com.            3600    IN      SOA     dnsldes.example.com. postmaster.example.com. 6 3600 600 86400 3600

;; Query time: 4 msec
;; SERVER: 172.21.229.159#53(172.21.229.159)
;; WHEN: Mon Mar 11 12:55:02 2013
;; MSG SIZE  rcvd: 94

这是 dig 查询的答案,它不能正常工作:

; <<>> DiG 9.8.1-P1 <<>> bdred.sub.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 26555
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;bdred.sub.example.com.         IN      A

;; AUTHORITY SECTION:
example.com.            3600    IN      SOA     dnsldes.example.com. postmaster.example.com. 6 3600 600 86400 3600

;; Query time: 4 msec
;; SERVER: 172.21.229.159#53(172.21.229.159)
;; WHEN: Mon Mar 11 13:09:07 2013
;; MSG SIZE  rcvd: 94

请问,我们做错了什么?

4

3 回答 3

12

解决方案是不要在 named.conf 中创建区域。解决方案是使用区域委托,如下所示:

$ORIGIN example.com.
$TTL 1W
@   IN  SOA     dnsldes.example.com.  postmaster.example.com. (
                               6            ; serial number
                               3600         ; refresh   [1h]
                               600          ; retry     [10m]
                               86400        ; expire    [1d]
                               3600 )       ; min TTL   [1h]
;


      IN     NS      dnsldes.example.com.


dnsldes IN  A   XXX.XXX.XXX.XXX
bahamas IN  CNAME   bdred



; Delegations and Glue
$ORIGIN sub.example.com.
@       IN      NS      lmzdns1.sub.example.com.

        IN      NS      lmzdns2.sub.example.com.

lmzdns1 IN      A       XXX.XXX.XXX.XXX
lmzdns2 IN      A       XXX.XXX.XXX.XXX
于 2013-03-14T14:57:54.737 回答
4

这是一个子域委托问题:

将 NS 记录添加到区域的数据文件中,将子域委托给名称服务器。

例子:

域:one.domain 子域:sub.one.domain

我只需要使用谷歌公共 dns 来解析 sub.one.domain。

要将 sub.one.domain 委托给名称服务器 externalns.one.domain,您可以将此 NS 记录添加到 one.domain 区域数据文件中:

sub.one.domain.    IN    NS    externalns.one.domain.

您还需要为 externalns.one.domain 添加一条 A 记录:

externalns.one.domain    IN    A    8.8.8.8
于 2015-10-03T21:29:39.880 回答
0

关于我的经验和测试,当您的服务器对父区域具有权威时,当您想要转发子区域时,您必须:

  • 在您的 named.conf 中将要转发的子区域声明为转发区域类型
  • 添加与您将在父区域中转发该子区域的名称服务器相关的 NS 记录

使用该配置,您的服务器将向您在 named.conf 的子区域声明中设置的转发器列表发送递归请求。

如果您只添加 NS 记录而没有在 named.conf 中将该区域声明为转发区域,则您委托该区域,您的 DNS 服务器将发送一个迭代请求。

如果您仅在 named.conf 中将子区域声明为转发区域类型(并且父区域在您的服务器上具有权威性),则转发将不起作用。

注意:您可以通过执行流量捕获来检查迭代或递归查询,并且在带有参数的标志部分中可见(DNS->Flags->Recursion Desired)

选择委托或转发可以改变很多 DNS 请求流/DNS 架构选择(递归或迭代 DNS 请求)

于 2020-10-05T22:50:17.030 回答