将 DNS/DHCP 服务器 添加到 Address Manager - BlueCat Integrity - 9.5.0

在 Address Manager 控件下放置已配置的 DNS/DHCP 服务器，或编辑已在 BAM 控件下的 BDDS 的属性。

1. 从配置下拉菜单中，选择配置。
2. 选择服务器选项卡。选项卡会记住上次处理的页面，因此请再次选择该选项卡以确保您在配置信息页面上。
3. 在服务器下，单击新建。
   如果要编辑服务器，请单击服务器名称。从详情页面，单击服务器名称菜单，然后选择编辑。
4. 在服务器下，完成以下操作：
   • 简介 — 从下拉菜单中选择 DNS/DHCP 服务器设备的型号。
     注： 如果您希望使用的监测服务，你必须首先在每个想要监控的 DNS/DHCP 服务器启用 SNMP。有关详情，请参阅为 DNS/DHCP 服务器 启用监控服务。
   • 名称 — 输入服务器的名称。此名称仅在Address Manager用户界面中使用，与已部署的 DNS 数据无关。
   • 管理接口 — 输入在 BDDS 管理控制台中 eth0 接口上配置的 IPv4 或 IPv6 地址。如果已启用专用管理，请输入在 eth2 接口上配置的 IPv4 或 IPv6 地址。
     注： 编辑服务器时，仅当您首先禁用了托管DNS/DHCP 服务器之后，管理接口字段才可用。如果要更改管理接口 (eth2) 的 IP 地址，必须首先使用 DNS/DHCP 服务器 管理控制台重新配置管理接口的 IP 地址，在 Address Manager 中禁用服务器，然后使用新的 IP 地址编辑服务器。
   • 主机名 — 用于网络上服务器的主机名。例如，myhost.example.com
   • 连接到服务器 — 默认情况下，选择此选项。它允许 Address Manager 在服务器添加后连接到该服务器。如果此时不想连接到服务器，请取消选中此复选框。
     注： 必须选中连接到服务器复选框才能单击检测服务器设置按钮，该按钮是将服务器添加到 Address Manager 所必需的。
   • 升级到最新版本 — 默认情况下，取消选择此选项。这提供了一个安全的环境，可以在Address Manager中添加DNS/DHCP 服务器而无需应用不需要的软件更新。仅当要在设备处于Address Manager控制下时应用最新版本的DNS/DHCP 服务器软件，才选中此复选框。
     注： BlueCat 建议仅在首次将服务器添加到 Address Manager 后升级 DNS/DHCP 服务器软件。添加服务器而不选择升级到最新版本复选框。将服务器添加到 Address Manager 后，升级服务器软件。有关详情，请参阅升级 DNS/DHCP 服务器软件。
   • 密码 — 输入服务器密码。必须输入密码才能单击检测服务器设置按钮。有关默认服务器密码的更多信息，请参阅 BlueCat 默认登录凭据（经过验证后才能查看此主题）。
   • 位置 — （可选）从下拉菜单中选择要添加或编辑的服务器对象所基于的位置。最常用的位置对象将显示在列表顶部，然后按字母顺序显示所有其他列表。
5. 单击检测服务器设置。Address Manager将检查DNS/DHCP 服务器软件版本、接口计数、专用管理状态、IP 地址和冗余方案（仅限 4 端口设备）。
6. 可选：完成以下操作（可用字段取决于 DNS/DHCP 服务器 的接口数量）：
   • 服务接口 — 以下字段将根据通过 DNS/DHCP 服务器 管理控制台设置的当前配置自动填充。
     • 主 IPv4 服务地址和网络掩码 — 只读。这是仅用于 DNS、DHCP、DHCPv6 和 TFTP 等服务流量的 IPv4 地址和网络掩码（仅限 3 端口和 4 端口设备）。
     • 主 IPv6 服务地址和子网 — 只读显示此前通过 DNS/DHCP 服务器 管理控制台配置的 IPv6 服务地址和子网。
   • XHA 骨干 — 如果要配置 xHA 接口并指定要使用的 IPv4 或 IPv6 地址和网络掩码/子网，请选中此复选框。
     注： 配置 xHA 骨干的 IPv6 地址时，前缀的取值范围必须在可接受的 CIDR 范围 64 到 127 之间。
   • 启用冗余 — 选中此复选框以启用网络冗余（仅限 4 端口设备）或取消选择以禁用网络冗余。从方案下拉菜单中，选择主动/备份或主动/主动 (802.3ad)。
     注： 如果服务接口 (eth0) 上存在任何 VLAN 接口，则无法从“添加服务器”页面启用网络冗余。如有必要，使用 DNS/DHCP 服务器 管理控制台删除所有已配置的 VLAN 接口，然后将服务器添加到 Address Manager 并启用网络冗余。一旦服务器在 Address Manager 控制下，就可以从 Address Manager 用户界面配置 VLAN 接口（服务器 > 服务配置 > 接口 ）。

     如果要求使用端口绑定进行 VLAN 标记，则必须先启用绑定，然后立即配置 VLAN 接口。

   • 启用加密通知 — 默认情况下禁用通知加密。选中该复选框以启用 Address Manager 和 DNS/DHCP 服务器之间的加密通知。
     注：

     • 启用加密通知复选框仅适用于 BDDS v9.4.0 或更高版本。
     • 在 Address Manager 的未来版本中将移除在加密/未加密之间切换通知通道的功能；默认情况下，Address Manager 和 DNS/DHCP 服务器之间与通知相关的所有通信都将被加密，没有禁用加密的选项。
     • 加密通知需要在防火墙上打开某些端口，请参阅Address Manager 服务端口了解更多信息。
7. 可选：在监控设置下，选择以下（仅在DNS/DHCP 服务器监控服务已启用时可用）：
   • 使用默认监控设置[已启用] — 默认情况下已选中。保持选中状态以使用为配置配置的DNS/DHCP 服务器监控设置。
   • 覆盖全局监控设置 — 选择以设置服务器的自定义监控设置，然后选择监控此服务器并配置以下 SNMP 参数设置：
     • 版本 — 选择受监控服务器的 SNMP 版本。
     • 端口号 — 表示用于与受监控服务器通信的 SNMP 端口BAM。默认端口为 161。无法更改此端口。
     • 社区字符串 — 输入用于验证的 SNMP 社区字符串，然后单击添加。社区字符串显示在列表中。最多可以向列表中添加 100 个社区字符串。按列表中显示的顺序使用字符串。要移除字符串，请从列表中选择该字符串，然后单击移除。要更改列表中项目的顺序，请在列表中选择一个项目，然后单击上移或下移。
8. 在验证选项下，设置以下选项以覆盖在配置级别配置的 DHCP 和 DNS 服务配置或 DNS 区域验证设置：
   • 覆盖配置等级 DHCP 验证设置 — 选中该复选框以设置特定于服务器的 DHCP 部署验证选项。如果选中，则会出现启用 DHCP 配置验证复选框。
     • 启用 DHCP 配置验证 — 选中此复选框以检查 dhcpd.conf 文件的语法，并在部署之前从 Address Manager 验证数据。
   • 覆盖配置等级 DNS 验证设置 — 选中该复选框以设置特定于服务器的部署验证选项。如果选中，则会显示启用 DNS 配置验证和启用 DNS 区域验证复选框：
     • 启用 DNS 配置验证 — 选中此复选框以检查 named.conf 文件的语法，并在部署之前从 Address Manager 验证数据。
     • 启用 DNS 区域验证 — 选中此复选框以检查每个 DNS 区域文件的语法，并在部署之前从 Address Manager 验证数据。这相当于为 named-checkzone 工具设置 -i 切换。如果选中，则页面上将打开 DNS 区域部署验证设置部分。
9. 在 DNS 区域验证设置下，完成以下操作：
   • 延迟加载区域完整性验证 — 根据为此选项选择的模式执行语法检查。选择以下模式之一：
     • 完全 — 检查以下条件：
       • 如果 MX 记录引用 A 或 AAAA 记录，则表示区域内和区域外主机名。
       • 如果 SRV 记录引用 A 或 AAAA 记录，则表示区域内和区域外主机名。
       • 如果委派 NS 记录引用 A 或 AAAA 记录，则表示区域内和区域外主机名。
       • 如果区域中的粘合地址记录与子项指定的记录匹配。
     • 本地 — 检查以下条件：
       • 如果 MX 记录引用 A 或 AAAA 记录，则表示区域内主机名。
       • 如果 SRV 记录引用 A 或 AAAA 记录，则表示区域内主机名。
       • 如果委派 NS 记录引用 A 或 AAAA 记录，则表示区域内主机名。
       • 如果区域中的粘合地址记录与子项指定的记录匹配。
     • 完全同级 — 执行与完全模式相同的检查，但不检查粘合记录。
     • 本地同级 — 执行与本地模式相同的检查，但不检查粘合记录。
   • 无 — 禁用所有延迟加载区域完整性检查。
   • 检查名称 — 检查名称。选择忽略、警告或失败以确定 Address Manager 如何处理此检查发现的条件。
   • 检查 MX 记录是否是 IP 地址 — 检查 MX 记录是否指向 IP 地址而不是 A 或 AAAA 记录。这相当于为 named-checkzone 工具设置 -M 切换。选择忽略、警告或失败以确定 Address Manager 如何处理此检查发现的条件。
   • 检查 MX 记录是否指向 CNAME 记录 — 检查 MX 记录是否指向 CNAME 记录而不是 A 或 AAAA 记录。这相当于为 named-checkzone 工具设置 -M 切换。选择忽略、警告或失败以确定 Address Manager 如何处理此检查发现的条件。
   • 检查 NS 记录是否是 IP 地址 — 检查 NS 记录是否指向 IP 地址而不是 A 或 AAAA 记录。这相当于为 named-checkzone 工具设置 -n 切换。选择忽略、警告或失败以确定 Address Manager 如何处理此检查发现的条件。
   • 检查 SRV 记录是否指向 CNAME 记录 — 检查 SRV 记录是否指向 CNAME 记录而不是 A 或 AAAA 记录。这相当于为 named-checkzone 工具设置 -S 切换。选择忽略、警告或失败以确定 Address Manager 如何处理此检查发现的条件。
   • 检查非终端通配符 — 检查区域名称中未显示为区域名称的最后一个段的通配符：例如，mail.*.example.com。非终端通配符是允许的，但您可能希望收到关于其存在的警告。这相当于为 named-checkzone 工具设置 -W 切换。选择忽略或警告以确定 Address Manager 如何处理此检查发现的条件。

   对于上述选项，忽略、警告或失败具有以下效果：

   • 忽略 — 忽略条件，因此不会将它记录在区域验证服务器日志中。在区域数据包含条件的情况下，部署继续进行。
   • 警告 — 在区域验证服务器日志中记录条件。在区域数据包含条件的情况下，部署继续进行。
   • 失败 — 在区域验证服务器日志中记录条件。部署失败。现有 DNS 数据保留在原位，未部署新数据。
10. 在 Kerberos 服务主体下，设置 DNS 和 DHCP 服务主体：
    • 启用 DNS 服务主体 — 选择以指定 DNS 服务的安全凭证，以用于验证 GSS-TSIG 协议请求的密钥。选中此复选框后，将显示范围和首要字段。从范围和首要下拉菜单中选择 Kerberos 范围和服务主体。
    • 启用 DHCP 服务主体 — 选中此复选框以指定 DHCP 服务的安全凭证，以用于验证 GSS-TSIG 协议请求的密钥。选中此复选框后，将显示范围和首要字段。从范围和首要下拉列表中选择 Kerberos 范围和服务主体。
11. 可选：在 HSM 支持下，完成以下操作：
    注： 为了在托管 DNS/DHCP 服务器上启用 HSM 支持，必须先在 Address Manager 中创建 HSM 配置。有关配置 HSM 的完整信息，请参阅配置 HSM。

    • 选中复选框启用 HSM 支持。添加服务器页面将刷新以显示 HSM 配置和 HSM 服务器的下拉菜单。
    • 从 HSM 服务器下拉菜单中，选择 HSM 服务器，然后单击添加。重复此步骤以添加多个 HSM 服务器。
    • 要对列表中 HSM 服务器的层次结构重新排序，请选择 HSM 服务器，然后单击上移或下移。顶部的 HSM 服务器将为主要；主要以下的 HSM 服务器将成为第二级和第三级。单击移除以从列表中删除 HSM 服务器。

    在详情选项卡的通用部分中，将看到启用 HSM 支持：是 — 这确认已在托管 BlueCat DNS 服务器上启用了 HSM。此外，HSM 服务器部分列出了链接到托管 DNS 服务器的 HSM 服务器。

12. 在切换控制下，根据需要添加注释。
13. 单击添加或继续添加以添加另一个服务器。