Назад | Перейти на главную страницу

Динамический DNS с Bind9 и BIND_DLZ не запускается?

У меня есть устройство с Samba в качестве контроллера домена Active Directory, использующее BIND_DLZ в качестве бэкэнда.

Вдобавок к этому я запускаю вторичное устройство, также настроенное как контроллер домена Active Directory, также с BIND_DLZ в качестве бэкэнда для целей избыточности.

IP-адреса назначаются сервером DHCP ISC, который может обновлять записи ресурсов DNS с помощью ключа шифрования (TSIG).

В любом случае: к моей проблеме.

Вот моя текущая настройка

named.conf.options:

options 
{
     directory "/var/cache/bind";

     forwarders {
            2001:4860:4860::8888;
            2001:4860:4860::8844;
            8.8.8.8;
            8.8.4.4;
     };

     auth-nxdomain no;    # conform to RFC1035
     listen-on-v6 { any; };

     listen-on port 53 { 192.168.1.240; };
     listen-on port 5353 { 127.0.0.1; }; <-- Used for Netflix IPv6 filter only.

     tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";
     minimal-responses yes;
     recursion yes;
};

acl "home-net"
{
    127.0.0.1;
    192.168.1.0/24;
    2001:db8:cafe:beef::/56; # <-- I am using a IPv6 range from Tunnelbroker in real life.
};

view "normal"
{
    include "/etc/bind/named.conf.default-zones";
    include "/etc/bind/named.conf.internal";

    # Netflix really dislike Tunnelbroker IPv6, so I am dropping any Netflix AAAA ressources records.
    include "/etc/bind/netflix-ipv6-blackhole.conf";  

    match-clients
    {
        home-net; # <-- Only respond to queries originating from my own network.
    };

    dnssec-enable yes;
    dnssec-validation auto;

    allow-query { any; };
    allow-query-cache { home-net; };
    allow-recursion { home-net; };

    forwarders {
      8.8.8.8;
      8.8.4.4;
      2001:4860:4860::8888;
      2001:4860:4860::8844;
   };
};

named.conf.internal:

zone "1.168.192.in-addr.arpa"
{
    type master;
    file "/etc/bind/db.192.168.1.rev";
    notify yes;

    allow-query { any; };
    allow-transfer { xfer; };

    # If allow-update is enabled instead of the include named.conf.update line, 
    # then Dynamic DNS works fine due to ISC DHCP can update the ressource records. 
    #
    # Sadly you can't have both lines enabled. It is either / or.

    // allow-update { key ddns-key; };

    include "/var/lib/samba/bind-dns/named.conf.update"; # <-- Having issues with THIS line only.
};

include "/var/lib/samba/bind-dns/named.conf";

/var/lib/samba/bind-dns/ named.conf:

dlz "AD DNS Zone" {
    # For BIND 9.11.x
    database "dlopen /usr/lib/arm-linux-gnueabihf/samba/bind9/dlz_bind9_11.so";
};

/var/lib/samba/bind-dns/ named.conf.update:

/* this file is auto-generated - do not edit */
update-policy {
        grant EXAMPLE.COM ms-self * A AAAA;
        grant Administrator@EXAMPLE.COM wildcard * A AAAA SRV CNAME;

        # Main Active Directory Domain Controller
        grant HARDY$@example.com wildcard * A AAAA SRV CNAME;

        # Backup Active Directory Domain Controller
        grant LAUREL$@example.com wildcard * A AAAA SRV CNAME;
};

Если я попытаюсь запустить привязку с этой конфигурацией, я получу довольно странную ошибку, которую я не могу понять:

/var/lib/samba/bind-dns/named.conf.update:3: name field not set to placeholder value '.'

Есть ли кто-нибудь, кто может подсказать мне, что не так с named.conf.update?

Хорошо, у вас есть два Samba AD DC, использующих Bind9 для DNS-сервера, и у вас проблемы с DNS, интересно, может ли это иметь какое-либо отношение к вашим неправильным файлам привязки?

Одна из основных проблем заключается в том, что у вас есть обратная зона в плоском файле, это запрещено, вам нужно создать ее в AD, вы можете использовать samba-tool для этого. Вы также не можете использовать "просмотры"

Попробуйте эти файлы конфигурации bind9:

/etc/bind/ named.conf

включить "/etc/bind/ named.conf.options"; включить "/etc/bind/ named.conf.local"; включить "/etc/bind/ named.conf.default-zones";

/etc/bind/ named.conf.options

параметры {

directory "/var/cache/bind";
notify no;
empty-zones-enable no;
allow-query { 127.0.0.1; 192.168.1.0/24; };
allow-recursion { 192.168.1.0/24; 127.0.0.1/32; };
forwarders {
        2001:4860:4860::8888;
        2001:4860:4860::8844;
        8.8.8.8;
        8.8.4.4;
};
allow-transfer { none; };
dnssec-validation no;
dnssec-enable no;
dnssec-lookaside no;
listen-on-v6 { any; };
listen-on port 53 { 192.168.1.240; };
listen-on port 53 { 192.168.1.240; 127.0.0.1; };
listen-on port 5353 { 127.0.0.1; }; <-- Used for Netflix IPv6 filter only.

tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";
minimal-responses yes;

};

/etc/bind/ named.conf.local

включить "/var/lib/samba/bind-dns/ named.conf";

// Netflix действительно не любит Tunnelbroker IPv6, поэтому я отбрасываю все записи о ресурсах Netflix AAAA.

включить "/etc/bind/netflix-ipv6-blackhole.conf";

Если вы сделали резервную копию /var/lib/samba/bind-dns/ named.conf.update Затем восстановите резервную копию из резервной копии. Если нет, то измените его на это:

/ * этот файл создается автоматически - не редактировать * / update-policy {

grant EXAMPLE.COM ms-self * A AAAA;
grant Administrator@EXAMPLE.COM wildcard * A AAAA SRV CNAME;
grant HARDY$@example.com wildcard * A AAAA SRV CNAME;
grant LAUREL$@example.com wildcard * A AAAA SRV CNAME;

};