Назад | Перейти на главную страницу

решение проблем DNS за брандмауэром на OS X Server

У меня возникла проблема, из-за которой недавно был нарушен единый вход с нашими клиентами Mac (10.5 и 10.6) на сервер OS X (10.5). Хосты, похоже, разрешаются на клиентах и сервере как вперед, так и назад. подсеть находится за брандмауэром и использует 10.0.1.xxx.

предварительные тесты с nslookup вроде бы в порядке.

есть ли другие тесты / инструменты, которые я мог бы использовать. Веб-сайты внешнего тестирования DNS не помогут, поскольку они находятся за брандмауэром ...

Спасибо

РЕДАКТИРОВАТЬ: Вот что я сделал, чтобы сломать вещи ... Я вручную удалил блок кода ниже для зона 0.0.10.in-addr.arpa. У меня нет подсети 10.0.0.xxx, и ServerAdmin досадно ее добавлял. Не имея другого способа избавиться от него, я последовал совету эта тема. Думаю, теперь у меня вопрос: требуется ли OS X Server по какой-то причине 10.0.0.xxx? для Kerberos? OD? Сеть по-прежнему шаткая, хотя появляются сообщения о том, что некоторые службы теперь работают!?! Ах, DNS, как я люблю тебя ....

server:/etc/dns me$ more publicView.conf.apple
acl "com.apple.ServerAdmin.DNS.public" {localnets;};

//
// This is the view that is shown in Server Admin
// This is an automatically generated file.
// PLEASE DO NOT MANUALLY MODIFY THIS FILE!
// Please make your changes in the named.conf file
//

view "com.apple.ServerAdmin.DNS.public" {
//GUID=A37562D4-E056-2DA7-B4AD-3C4973C63824;

        allow-recursion {"com.apple.ServerAdmin.DNS.public";};

        zone "0.0.10.in-addr.arpa." {
                type master;
                file "db.0.0.10.in-addr.arpa.";
                allow-transfer {none;};
                allow-update {none;};
        };


        zone "domain1.com." {
                type master;
                file "db.domain1.com.";
                allow-transfer {none;};
                allow-update {none;};
        };


        zone "1.0.10.in-addr.arpa." {
                type master;
                file "db.1.0.10.in-addr.arpa.";
                allow-transfer {none;};
                allow-update {none;};
        };


        zone "domain2.com." {
                type master;
                file "db.domain2.com.";
                allow-transfer {none;};
                allow-update {none;};
        };

        zone "." {
                type hint;
                file "named.ca";
        };
        zone "localhost" IN {
                type master;
                file "localhost.zone";
                allow-update { none; };
        };

        zone "0.0.127.in-addr.arpa" IN {
                type master;
                file "named.local";
                allow-update { none; };
        };

};

Kerberos требователен к Leopard и SSO. Чтобы проверить настройку DNS, выполните с помощью инструмента несколько из следующих действий. dig

Убедитесь, что ваш главный сервер OD разрешает правильно dig <od.master.fqdn>

Возьмите IP-ответ из предыдущего вопроса и вставьте его здесь dig -x <IP> он должен разрешить полное доменное имя вашего OD-сервера

В-третьих, убедитесь, что в разделе полномочий из обоих вопросов выше указаны все ваши DNS-серверы.

Наконец, раскопайте своего клиента, из которого вы входите, чтобы убедиться, что прямой и обратный ответы верны. (копать == вперед копать -x == назад)

Если все в порядке, проверьте, работает ли Kerberos. Перейдите в ServerAdmin-> OpenDirectory-> Обзор. Если Kerberos не запущен, запустите его.

launchctl load /System/Library/LaunchDaemons/edu.mit.Kerberos.krb5kdc.plist

Нажмите «Обновить» в Server Admin, если Kerberos ВСЕ ЕЩЕ не работает, тогда tail -f /var/log/krb5kdc/kdc.log при выполнении указанной выше команды launchctl. Это должно дать вам некоторое представление о том, почему не работает Kerberos.

Без дополнительной информации с вашей стороны это все, что я могу вам сказать.