お家環境はActiveDirectory環境なので、DNSもActiveDirectoryで管理している状態。
で、Linuxサーバーを建てたときのDNSサーバーをActiveDirectoryのDNSサーバーに設定しているけれど、全ての名前解決をActiveDirectoryのDNSサーバーに任せたくないなぁと。
つまり、ActiveDirectory環境の名前解決はActiveDirectoryのDNSサーバーで名前解決を行って、それ以外はGoogleのDNSサーバーで解決を行いたいかと。
DNSのプロキシサーバーみたいなのが無いのかなぁとGoogle先生に尋ねていたら、UnboundというDNSキャッシュサーバーを見つけたのでした。
で、ActiveDirectory環境でのUnboundの導入の備忘録。
Unboundのインストール手順については、割愛。
設定ファイルの編集。
$ sudo vi /etc/unbound/unbound.conf
do-ip4: yes
do-ip6: yes
access-control: 127.0.0.0/8 allow
access-control: 192.168.0.0/24 allow
access-control: ::1 allow
private-address: 192.168.0.0/24
private-domain: "kazuya.local."
val-permissive-mode: yes
local-zone: "kazuya.local." transparent
local-zone: "0.168.192.in-addr.arpa." transparent
stub-zone:
name: "kazuya.local."
stub-addr: 192.168.0.101
stub-addr: 192.168.0.102
stub-zone:
name: "0.168.192.in-addr.arpa."
stub-addr: 192.168.0.101
stub-addr: 192.168.0.102
forward-zone:
name: "."
forward-addr: 8.8.8.8
とまあ、こんな感じかな。
重要なのは、”val-permissive-mode: yes”と、このおまじないを行うこと。
これをしないと、ActiveDirectoryの署名の検証に失敗して名前解決が行えないことに。。。
このおまじないが必要なことに気がつくのにちょっと時間がかかったよ。。。
これで、ActiveDirectory環境の逆引きを含めた名前解決はActiveDirectory環境のDNSサーバーで行って、それ以外はGoogleのDNSサーバーで名前解決が行えるようになったかと。
コメント