我在Windows AD DNS中有一个内部域名,例如example.com。我创建了一个子域委托aws.example.com,其中一个粘贴记录指向AWS中的BIND 9.8实例(通过站点到站点VPN)。 BIND实例将单个区域配置为仅向前(使用转发器),指向具有AWS Rt的AWS VPC子网解析程序。 53区(aws.example.com)关联。 问题是解决方案无法正常运行,有时....来自我的内部网络,如果我挖掘或nslookup针对Rt中的主机的Windows DNS。 53区,我得不到答案(虽然我确实看到查询击中BIND)。如果我然后直接对BIND实例挖/ nslookup它的工作原理。 现在,如果我回到第一步,针对Windows DNS挖掘/ nslookup,我确实得到了成功的解决方案。 好像通过Windows DNS进入的初始dig / nslookup不会触发仅向前行为,而直接查询是&然后缓存答案。 任何人都可以提供有关我做错了什么或如何改变这种行为的见解吗?
BIND配置:
db.copyDatabase(fromDB, toDB)这里是运行查询到窗口的失败成功成功序列的示例,然后从2个不同的客户端再次绑定窗口:
acl goodclients {
172.31.0.0/16;
192.168.0.0/16;
localhost;
localnets;
};
options {
directory "/var/cache/bind";
recursion yes;
allow-query { goodclients; };
forwarders {
172.31.0.2;
};
#forward only;
dnssec-enable yes;
dnssec-validation yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
querylog yes;
};
zone "aws.example.com" {
type forward;
forward only;
forwarders { 172.31.0.2; };
};
答案 0 :(得分:0)
使用子域委派配置的Windows DNS服务器将向您的BIND服务器发送迭代查询。 BIND只有在权威或缓存时才会响应。
(你可以试试dig +norecurse server1.aws.example.com @172.31.32.5但它会失败)
在Windows DNS中,您需要配置"条件转发器"对于aws.example.com。