Справочный центр ALD Pro 3.1.0
Дополнительные настройки DNS¶
Для корректной работы сервера необходимо отключить DNSSEC, присвоив значение no параметру dnssec-validation в файле /etc/bind/ipa-options-ext.conf.
Особенностью настроек службы bind9-pkcs11 по умолчанию является запрет на обработку рекурсивных DNS-запросов от клиентов, находящихся за пределами той же подсети, в которой находится сам DNS-сервер. Сделано это для предотвращения DDoS-атак с DNS-усилением, но эта защита не актуальна для контроллеров домена, которые работают в закрытом периметре, поэтому в файле ipa-options-ext.conf рекомендуется задать также значение any для параметров allow-recursion и allow-query-cache или определить в файле /etc/bind/ipa-ext.conf список доверенных сетей.
Содержимое файла /etc/bind/ipa-options-ext.conf после внесения изменений:
allow-recursion { any; };
allow-query-cache { any; };
dnssec-validation no;
Для проверки конфигурационного файла bind9 после изменений использовать команду:
sudo named-checkconf /etc/bind/named.conf
Для применения изменений требуется перезапустить DNS-службу:
sudo systemctl restart bind9-pkcs11.service
Действия по настройке конфигурационного файла /etc/bind/ipa-options-ext.conf рекомендуется производить на основном и резервных контроллерах домена.
Хотя bind9-pkcs11 может успешно выступать в роли распознавателя, для снижения нагрузки с DNS-сервера эту функцию рекомендуется передать стороннему сервису, например, публичным DNS-серверам от Яндекс, доступных по IP-адресу 77.88.8.8.
Для настройки перенаправления DNS-запросов на портале управления Роли и службы сайта → Служба разрешения имен → Глобальная конфигурация DNS нужно добавить запись с политикой Только перенаправлять или Сначала перенаправлять, см. Глобальная конфигурация DNS.
Рисунок 3 Глобальная конфигурация DNS¶
Создание обратной DNS-зоны подробно описано в Руководства администратора. Часть 2, в разделе Роли и службы сайта → Служба разрешения имен → Зоны DNS → Создание зоны DNS. По умолчанию обратная зона создается с маской с размерностью /24, игнорируя настройки сетевого адаптера. Если подсеть отличается от размерности /24, то необходимо вручную создать обратную зону нужной размерности, а созданную по умолчанию - выключить.