FreeIPA не разрешает себя

Я планирую использовать FreeIPA в качестве авторитетного DNS-сервера для своей сети. Все остальные записи разрешаются нормально, однако FreeIPA не разрешается сама.

Бег копать ipa-hermes.lan.example.com не дает записей A

bash-5.1# копать ipa-hermes.lan.example.com @10.0.1.14

; <<>> DiG 9.16.19 <<>> ipa-hermes.lan.example.com @10.0.1.14
;; глобальные параметры: +cmd
;; Получил ответ:
;; ->>HEADER<<- код операции: QUERY, статус: NXDOMAIN, идентификатор: 41126
;; флаги: qr aa rd ra; ЗАПРОС: 1, ОТВЕТ: 0, АВТОРИЗАЦИЯ: 1, ДОПОЛНИТЕЛЬНО: 1

;; ДОПОЛНИТЕЛЬНЫЙ ПСЕВДОРАЗДЕЛ:
; ЭДНС: версия: 0, флаги:; УДП: 1232
; COOKIE: 807dd469a5469a178451c9da61831d41ae78b56eaed7d5e2 (хорошо)
;; РАЗДЕЛ ВОПРОСОВ:
;ipa-hermes.lan.example.com. В

;; ОТДЕЛ ПОЛНОМОЧИЙ:
пример.com. 3600 В SOA ipa-hermes.lan.example.com. hostmaster.example.com. 1635981510 3600 900 1209600 3600

;; Время запроса: 0 мс
;; СЕРВЕР: 10.0.1.14#53(10.0.1.14)
;; КОГДА: ср, 3 ноября, 23:37:37 UTC 2021
;; РАЗМЕР MSG rcvd: 140

Из оболочки сервера IPA пинг ipa-hermes.lan.example.com возвращает правильный адрес, но это потому, что он использует 127.0.0.53 как DNS, когда я не указываю сервер.

Кроме того, у меня есть Unbound (в настоящее время не используется, поскольку DHCP устанавливает DNS на сервер FreeIPA) на OPNSense. Запуск dig с использованием этого сервера возвращает правильную запись A.

bash-5.1# копать ipa-hermes.lan.example.com @10.0.0.1

; <<>> DiG 9.16.19 <<>> ipa-hermes.lan.example.com @10.0.0.1
;; глобальные параметры: +cmd
;; Получил ответ:
;; ->>HEADER<<- код операции: QUERY, статус: NOERROR, id: 12014
;; флаги: qr aa rd ra; ЗАПРОС: 1, ОТВЕТ: 1, ПОЛНОМОЧИЯ: 0, ДОПОЛНИТЕЛЬНО: 1

;; ДОПОЛНИТЕЛЬНЫЙ ПСЕВДОРАЗДЕЛ:
; ЭДНС: версия: 0, флаги:; УДП: 1232
;; РАЗДЕЛ ВОПРОСОВ:
;ipa-hermes.lan.example.com. В

;; РАЗДЕЛ ОТВЕТОВ:
ipa-hermes.lan.example.com. 3600 В А 10.0.1.14

;; Время запроса: 0 мс
;; СЕРВЕР: 10.0.0.1#53(10.0.0.1)
;; КОГДА: ср, 03 ноября, 23:43:00 UTC 2021
;; РАЗМЕР MSG rcvd: 81

Глядя на записи на сервере IPA, он там ЕСТЬ.

¯ ipa dnsrecord-find
Имя зоны: lan.example.com
  Имя записи: @
  Запись: 10.0.0.1
  Запись NS: ipa-hermes.lan.example.com.

  ...другие записи

  Название записи: ipa-ca
  Запись: 10.0.1.14

  Название записи: ipa-hermes
  Запись: 10.0.1.14

  Название записи: тест
  Запись: 10.0.2.2
-----------------------------
Количество возвращенных работ 19
-----------------------------

Есть ли что-то еще, что мне не хватает, почему это не сработает?

127.0.0.53 должен указывать на сам сервер IPA; Я не слишком знаком с ОС Ubuntu, но я считаю, что это установлено в /etc/netplan/*. Согласно документации по установке, ваш основной DNS-сервер должен быть 127.0.0.1 а вторичный должен быть вашим вторым сервером IPA. После того, как это установлено, запустите применить sudo netplan.

У вас должно быть как минимум два сервера IPA, чтобы они могли ссылаться друг на друга и обеспечивать возможности аварийного переключения.

Взгляните на руководство Red Hat по настройка DNS для IPA и посмотрите, поможет ли это вам