7.3. 在 CLI 中配置 DNS 转发区域

您可以使用命令行(CLI)向身份管理(IdM)服务器添加新的 DNS 转发区域。

使用 DNS 转发区域，您可以将对特定区域的 DNS 查询转发到不同的 DNS 服务器。例如，您可以将活动目录(AD)域的 DNS 查询转发到 AD DNS 服务器。

先决条件

使用具有管理员权限的用户帐户访问 CLI。
正确配置了 DNS 服务器。

流程

为 AD 域创建 DNS 转发区域，并使用 --forwarder 选项指定远程 DNS 服务器的 IP 地址：

ipa dnsforwardzone-add ad.example.com --forwarder=192.168.122.3 --forward-policy=first

# ipa dnsforwardzone-add ad.example.com --forwarder=192.168.122.3 --forward-policy=first

Copy to Clipboard

注意

在向配置添加新的转发区域后，您可能会在 /var/log/messages 系统日志中看到有关 DNSSEC 验证失败的警告：

named[2572]: no valid DS resolving 'host.ad.example.com/A/IN':  192.168.100.25#53

named[2572]: no valid DS resolving 'host.ad.example.com/A/IN':  192.168.100.25#53

Copy to Clipboard

DNSSEC（域名系统安全扩展）使用数字签名来保护 DNS 数据，使 DNS 免受攻击。在IdM 服务器中默认启用该服务。出现警告的原因是远程 DNS 服务器没有使用 DNSSEC。在远程 DNS 服务器上启用 DNSSEC。

如果您无法在远程服务器上启用 DNSSEC 验证，您可以在 IdM 服务器中禁用 DNSSEC ：

打开 IdM 服务器上的 /etc/named/ipa-options-ext.conf 文件。
添加以下 DNSSEC 参数：
```
dnssec-validation no;
```
```
dnssec-validation no;
```
Copy to Clipboard
保存并关闭配置文件。

重启 DNS 服务：

systemctl restart named

# systemctl restart named

Copy to Clipboard

请注意，DNSSEC 仅在 IdM 中作为技术预览提供。

验证

将 nslookup 命令与远程 DNS 服务器名称一起使用：

nslookup ad.example.com

$ nslookup ad.example.com
Server:        192.168.122.2
Address:       192.168.122.2#53

No-authoritative answer:
Name:          ad.example.com
Address:       192.168.122.3

Copy to Clipboard

如果正确配置了域转发，nslookup 请求会显示远程 DNS 服务器的 IP 地址。

返回顶部

7.3. 在 CLI 中配置 DNS 转发区域

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links