У меня есть устройство с Samba в качестве контроллера домена Active Directory, использующее BIND_DLZ в качестве бэкэнда.
Вдобавок к этому я запускаю вторичное устройство, также настроенное как контроллер домена Active Directory, также с BIND_DLZ в качестве бэкэнда для целей избыточности.
IP-адреса назначаются сервером DHCP ISC, который может обновлять записи ресурсов DNS с помощью ключа шифрования (TSIG).
В любом случае: к моей проблеме.
Вот моя текущая настройка
named.conf.options:
options
{
directory "/var/cache/bind";
forwarders {
2001:4860:4860::8888;
2001:4860:4860::8844;
8.8.8.8;
8.8.4.4;
};
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
listen-on port 53 { 192.168.1.240; };
listen-on port 5353 { 127.0.0.1; }; <-- Used for Netflix IPv6 filter only.
tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";
minimal-responses yes;
recursion yes;
};
acl "home-net"
{
127.0.0.1;
192.168.1.0/24;
2001:db8:cafe:beef::/56; # <-- I am using a IPv6 range from Tunnelbroker in real life.
};
view "normal"
{
include "/etc/bind/named.conf.default-zones";
include "/etc/bind/named.conf.internal";
# Netflix really dislike Tunnelbroker IPv6, so I am dropping any Netflix AAAA ressources records.
include "/etc/bind/netflix-ipv6-blackhole.conf";
match-clients
{
home-net; # <-- Only respond to queries originating from my own network.
};
dnssec-enable yes;
dnssec-validation auto;
allow-query { any; };
allow-query-cache { home-net; };
allow-recursion { home-net; };
forwarders {
8.8.8.8;
8.8.4.4;
2001:4860:4860::8888;
2001:4860:4860::8844;
};
};
named.conf.internal:
zone "1.168.192.in-addr.arpa"
{
type master;
file "/etc/bind/db.192.168.1.rev";
notify yes;
allow-query { any; };
allow-transfer { xfer; };
# If allow-update is enabled instead of the include named.conf.update line,
# then Dynamic DNS works fine due to ISC DHCP can update the ressource records.
#
# Sadly you can't have both lines enabled. It is either / or.
// allow-update { key ddns-key; };
include "/var/lib/samba/bind-dns/named.conf.update"; # <-- Having issues with THIS line only.
};
include "/var/lib/samba/bind-dns/named.conf";
/var/lib/samba/bind-dns/ named.conf:
dlz "AD DNS Zone" {
# For BIND 9.11.x
database "dlopen /usr/lib/arm-linux-gnueabihf/samba/bind9/dlz_bind9_11.so";
};
/var/lib/samba/bind-dns/ named.conf.update:
/* this file is auto-generated - do not edit */
update-policy {
grant EXAMPLE.COM ms-self * A AAAA;
grant Administrator@EXAMPLE.COM wildcard * A AAAA SRV CNAME;
# Main Active Directory Domain Controller
grant HARDY$@example.com wildcard * A AAAA SRV CNAME;
# Backup Active Directory Domain Controller
grant LAUREL$@example.com wildcard * A AAAA SRV CNAME;
};
Если я попытаюсь запустить привязку с этой конфигурацией, я получу довольно странную ошибку, которую я не могу понять:
/var/lib/samba/bind-dns/named.conf.update:3: name field not set to placeholder value '.'
Есть ли кто-нибудь, кто может подсказать мне, что не так с named.conf.update?
Хорошо, у вас есть два Samba AD DC, использующих Bind9 для DNS-сервера, и у вас проблемы с DNS, интересно, может ли это иметь какое-либо отношение к вашим неправильным файлам привязки?
Одна из основных проблем заключается в том, что у вас есть обратная зона в плоском файле, это запрещено, вам нужно создать ее в AD, вы можете использовать samba-tool для этого. Вы также не можете использовать "просмотры"
Попробуйте эти файлы конфигурации bind9:
/etc/bind/ named.conf
включить "/etc/bind/ named.conf.options"; включить "/etc/bind/ named.conf.local"; включить "/etc/bind/ named.conf.default-zones";
/etc/bind/ named.conf.options
параметры {
directory "/var/cache/bind";
notify no;
empty-zones-enable no;
allow-query { 127.0.0.1; 192.168.1.0/24; };
allow-recursion { 192.168.1.0/24; 127.0.0.1/32; };
forwarders {
2001:4860:4860::8888;
2001:4860:4860::8844;
8.8.8.8;
8.8.4.4;
};
allow-transfer { none; };
dnssec-validation no;
dnssec-enable no;
dnssec-lookaside no;
listen-on-v6 { any; };
listen-on port 53 { 192.168.1.240; };
listen-on port 53 { 192.168.1.240; 127.0.0.1; };
listen-on port 5353 { 127.0.0.1; }; <-- Used for Netflix IPv6 filter only.
tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";
minimal-responses yes;
};
/etc/bind/ named.conf.local
включить "/var/lib/samba/bind-dns/ named.conf";
// Netflix действительно не любит Tunnelbroker IPv6, поэтому я отбрасываю все записи о ресурсах Netflix AAAA.
включить "/etc/bind/netflix-ipv6-blackhole.conf";
Если вы сделали резервную копию /var/lib/samba/bind-dns/ named.conf.update Затем восстановите резервную копию из резервной копии. Если нет, то измените его на это:
/ * этот файл создается автоматически - не редактировать * / update-policy {
grant EXAMPLE.COM ms-self * A AAAA;
grant Administrator@EXAMPLE.COM wildcard * A AAAA SRV CNAME;
grant HARDY$@example.com wildcard * A AAAA SRV CNAME;
grant LAUREL$@example.com wildcard * A AAAA SRV CNAME;
};