.. :validated: 3.2.0

.. _dns-settings:

Дополнительные настройки DNS
----------------------------

Для корректной работы сервера необходимо отключить **DNSSEC**, присвоив значение ``no`` параметру ``dnssec-validation`` в файле ``/etc/bind/ipa-options-ext.conf``.

Особенностью настроек службы **bind9-pkcs11** по умолчанию является запрет на обработку рекурсивных DNS-запросов от клиентов, находящихся за пределами той же подсети, в которой находится сам DNS-сервер. Сделано это для предотвращения DDoS-атак с DNS-усилением, но эта защита не актуальна для контроллеров домена, которые работают в закрытом периметре, поэтому в файле ``ipa-options-ext.conf`` рекомендуется задать также значение ``any`` для параметров ``allow-recursion`` и ``allow-query-cache`` или определить в файле ``/etc/bind/ipa-ext.conf`` список доверенных сетей.

Содержимое файла ``/etc/bind/ipa-options-ext.conf`` после внесения изменений:

.. code-block:: bash

   allow-recursion { any; };
   allow-query-cache { any; };
   dnssec-validation no;

Для проверки конфигурационного файла ``bind9`` после изменений использовать команду:

.. code-block:: bash

   sudo named-checkconf /etc/bind/named.conf

Для применения изменений требуется перезапустить DNS-службу:

.. code-block:: bash

   sudo systemctl restart bind9-pkcs11.service

Действия по настройке конфигурационного файла ``/etc/bind/ipa-options-ext.conf`` рекомендуется производить на основном и резервных контроллерах домена.

Хотя **bind9-pkcs11** может успешно выступать в роли распознавателя, для снижения нагрузки с DNS-сервера эту функцию рекомендуется передать стороннему сервису, например, публичным DNS-серверам от Яндекс, доступных по IP-адресу ``77.88.8.8``.

Для настройки перенаправления DNS-запросов на портале управления **Роли и службы сайта** → **Служба разрешения имен** → **Глобальная конфигурация DNS** нужно добавить запись с политикой **Только перенаправлять** или **Сначала перенаправлять**, см. :numref:`Глобальная конфигурация DNS`.

.. figure:: 2.1.4_dnsconfig.png
   :name: Глобальная конфигурация DNS
   :scale: 50

   Глобальная конфигурация DNS

Создание обратной DNS-зоны подробно описано в **Руководства администратора. Часть 2**, в разделе **Роли и службы сайта** → **Служба разрешения имен** → **Зоны DNS** → **Создание зоны DNS**. По умолчанию обратная зона создается с маской с размерностью ``/24``, игнорируя настройки сетевого адаптера. Если подсеть отличается от размерности ``/24``, то необходимо вручную создать обратную зону нужной размерности, а созданную по умолчанию - выключить.