7.5. 验证 DNS 配置

流程

1. 对通过 UDP 的 Kerberos 和通过 TCP 服务记录的 LDAP 运行 DNS 查询。

   [admin@server ~]# dig +short -t SRV _kerberos._udp.idm.example.com.
   0 100 88 server.idm.example.com.
   
   [admin@server ~]# dig +short -t SRV _ldap._tcp.idm.example.com.
   0 100 389 server.idm.example.com.

   该命令返回 IdM 服务器的 SRV 记录。

2. 使用 IdM Kerberos 域名称对 TXT 记录运行 DNS 查询。返回的值应与您在安装 IdM 时指定的 Kerberos 域匹配。

   [admin@server ~]# dig +short -t TXT _kerberos.idm.example.com.
   "IDM.EXAMPLE.COM"

   如果前面的步骤没有返回所有预期的记录，请使用缺失的记录更新 DNS 配置：

   • 如果您的 IdM 环境使用集成的 DNS 服务器，请输入不带任何选项的 ipa dns-update-system-records 命令，来更新您的系统记录：

     [admin@server ~]$ ipa dns-update-system-records

   • 如果您的 IdM 环境没有使用集成的 DNS 服务器：

     1. 在 IdM 服务器中，将 IdM DNS 记录导出到文件中：

        [admin@server ~]$ ipa dns-update-system-records --dry-run --out dns_records_file.nsupdate

        该命令使用相关的 IdM DNS 记录创建一个名为 dns_records_file.nsupdate 的文件。

     2. 使用 nsupdate 工具和 dns_records_file.nsupdate 文件向 DNS 服务器提交 DNS 更新请求。如需更多信息，请参阅 RHEL 7 文档中的 使用 nsupdate 更新外部 DNS 记录。或者，请参阅 DNS 服务器文档来添加 DNS 记录。

3. 验证 IdM 能够通过一个命令来解析 AD 的服务记录，该命令对 Kerberos 和通过 TCP 服务记录的 LDAP 运行 DNS 查询：

   [admin@server ~]# dig +short -t SRV _kerberos._tcp.dc._msdcs.ad.example.com.
   0 100 88 addc1.ad.example.com.
   
   [admin@server ~]# dig +short -t SRV _ldap._tcp.dc._msdcs.ad.example.com.
   0 100 389 addc1.ad.example.com.