7.3. 在 CLI 中配置 DNS 转发区域
按照以下流程,使用命令行界面(CLI)将新的 DNS 转发区域添加到身份管理(IdM)服务器中。
使用 DNS 转发区域,您可以将对特定区域的 DNS 查询转发到不同的 DNS 服务器。例如,您可以将活动目录(AD)域的 DNS 查询转发到 AD DNS 服务器。
先决条件
- 使用具有管理员权限的用户帐户访问 CLI。
- 正确配置了 DNS 服务器。
步骤
为 AD 域创建 DNS 转发区域,并使用
--forwarder
选项指定远程 DNS 服务器的 IP 地址:# ipa dnsforwardzone-add ad.example.com --forwarder=192.168.122.3 --forward-policy=first
在向配置添加新的转发区域后,您可能会在 /var/log/messages
系统日志中看到有关 DNSSEC 验证失败的警告:
named-pkcs11[2572]: no valid DS resolving 'host.ad.example.com/A/IN': 192.168.100.25#53
DNSSEC(域名系统安全扩展)使用数字签名来保护 DNS 数据,使 DNS 免受攻击。在IdM 服务器中默认启用该服务。出现警告的原因是远程 DNS 服务器没有使用 DNSSEC。红帽建议您在远程 DNS 服务器上启用 DNSSEC。
如果您无法在远程服务器上启用 DNSSEC 验证,您可以在 IdM 服务器中禁用 DNSSEC :
-
打开
/etc/named/ipa-options-ext.conf
文件。 添加以下 DNSSEC 参数:
dnssec-enable no; dnssec-validation no;
- 保存并关闭配置文件。
重启 DNS 服务:
# systemctl restart named-pkcs11
验证
将
nslookup
命令与远程 DNS 服务器名称一起使用:$ nslookup ad.example.com Server: 192.168.122.2 Address: 192.168.122.2#53 No-authoritative answer: Name: ad.example.com Address: 192.168.122.3
如果正确配置了域转发,
nslookup
请求会显示远程 DNS 服务器的 IP 地址。