LINUX.ORG.RU
решено ФорумAdmin

DNS в Samba AD

 ,


0

2

Приветствую!

Прошу ткнуть носом в причину появления нижеописанных чудес и возможность их исправления.
SAMBA - 4.11.2
BIND - 9.11.10
Поднят Samba AD DC (192.168.10.220) с BIND9 DLZ DNS Back End.
Всё работает, пользователи ходят, LDAP отвечает.
Смотрю работу DNS в консоли DC:

# nslookup buh-buh
Server:         127.0.0.1
Address:        127.0.0.1#53

Name:   buh-buh.MYDOM.LAN
Address: 192.168.10.38

# nslookup 192.168.10.38
38.10.168.192.in-addr.arpa      name = BUH-BUH.mydom.lan.

Так же, nslookup'ом, проверяю и на Вынь, и на Линь машинах - возвращает и прямую, и обратную записи.
Иду в RSAT - такой записи (BUH-BUH) нет ни в прямой, ни в обратной зоне!

Делаю эксперимент, прописываю вручную новый(е) сервер(ы) и в прямой, и в обратной зонах (хоть в RSAT, хоть через консоль) - nslookup, host и прочие ничего не видят!
Хотя, сам DC, srv и другие типы относящиеся к домену и видные в RSAT, nslookup'ом, host и прочими показываются.

samba-tool dns query 192.168.10.220 mydom.lan @ ALL -U admin

возвращает ровно тоже, что видно в RSAT.

Куда же лезет nslookup? %)

smb.conf
[global]
        netbios name = DC
        realm = MYDOM.LAN
        server role = active directory domain controller
        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
        workgroup = MYDOM
        idmap_ldb:use rfc2307 = yes

        winbind enum users = yes
        winbind enum groups = yes
        winbind refresh tickets = yes

        host msdfs = true
        interfaces = eth0 lo
        bind interfaces only = Yes

        allow dns updates = nonsecure and secure
        allow dcerpc auth level connect = yes

        ldap server require strong auth = no
        client ldap sasl wrapping = plain
        tls enabled = no

named.conf
include "/var/lib/samba/bind-dns/named.conf";

options {
        listen-on {192.168.10.220;127.0.0.1;};
        directory "/var/named";
        auth-nxdomain yes;
        notify no;
        empty-zones-enable no;
        allow-query {127.0.0.1;192.168.10.0/24;};
        allow-recursion {127.0.0.1; 192.168.10.0/24;};
        allow-update {127.0.0.1;192.168.10.0/24;};
        allow-transfer { none; };
        tkey-gssapi-keytab "/etc/samba/private/dns.keytab";
        minimal-responses yes;
# не понятные запросы отдаем шлюзу 192.168.10.250
        forwarders {192.168.10.250;};
        forward only;

        dnssec-validation no;
        listen-on-v6 { none; };
        version "unknown";
};

zone "." IN {
type hint;
file "caching-example/named.root";
};

zone "localhost" IN {
  type master;
  file "caching-example/localhost.zone";
  allow-update { none; };
};

zone "0.0.127.in-addr.arpa" IN {
  type master;
  file "caching-example/named.local";
  allow-update { none; };
}

/var/lib/samba/bind-dns/named.conf
dlz "AD DNS Zone" {

    # For BIND 9.11.x
     database "dlopen /usr/lib64/samba/bind9/dlz_bind9_11.so";
};

resolv.conf
domain MYDOM.LAN
nameserver 127.0.0.1
nameserver 192.168.10.220

hosts
127.0.0.1               localhost
192.168.10.220          dc.mydom.lan dc


За ранее, Спасибо!


Может у вас все запросы уходят по ″forward only″? Попробуйте вобще без ″forwarders″.

mky ★★★★★
()
Ответ на: комментарий от mky

Попробовал, не помогло.
Плюсом на всех машинах в домене отвалилось отображение внешних сайтов (не резолвятся). В принципе, правильно, так как основной DNS-сервер на всех машинах 192.168.10.220 (АКА Samba AD DC :).

Думаю, что собака где-то тут порылась:
в RSAT, в Диспетчере DNS, в свойствах зон, выставлен Тип - «Интегрированный в Active Directory», а Репликация - «Все DNS-серверы в этом домене».
Не пойму как это работает.
По сути, что AD, что DNS - это набор файлов *.tdb и *.ldb. Получается, что где-то есть база зон AD не равная базе зон BIND и их надо синхронизировать. Т.е. репликация должна пройти с самим собой - хрень какая-то :).

Slawik
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin