27.5. IdM 中的 DNS 转发策略

IdM 支持 firstonly 标准的 BIND 转发策略,以及 none 特定于 IdM 的转发策略。

转发 first (默认)
IdM BIND 服务将 DNS 查询转发到配置的转发器。如果因为服务器错误或超时导致查询失败,则 BIND 会使用 Internet 上的服务器回退到递归解析。forward first 策略是默认策略,它适合于优化 DNS 流量。
转发 only
IdM BIND 服务将 DNS 查询转发到配置的转发器。如果因为服务器错误或超时查询导致失败,则 BIND 会返回给客户端一个错误。建议在具有分割 DNS 配置的环境中使用 forward only 策略。
none (禁用转发)
DNS 查询不会使用 none 转发策略进行转发。禁用转发仅用作全局转发配置的特定区覆盖。这个选项等同于在 BIND 配置中指定一个空转发器列表。
注意

您不能使用转发将 IdM 中的数据与其他 DNS 服务器的数据组合在一起。您只能转发 IdM DNS 中主区的特定子区的查询。

默认情况下,如果查询的 DNS 名称属于 IdM 服务器授权的区域,则 BIND 服务不会将查询转发给另一个服务器。在这种情况下,如果无法在 IdM 数据库中找到查询的 DNS 名称,则会返回 NXDOMAIN 回答。未使用转发。

例 27.1. 示例场景

IdM 服务器对 test.example 具有权威性。DNS 区域。BIND 被配置为将查询转发到 IP 地址为 192.0.2.254 的 DNS 服务器。

当客户端发送对 nonexistent.test.example 的查询时。DNS 名称,BIND 检测到 IdM 服务对于 test.example 区域具有权威性,并且不会将查询转发到 192.0.2.254. 服务器。因此,DNS 客户端会收到 NXDomain 错误消息,通知用户查询的域不存在。