Eu tenho um dispositivo executando o Samba como um controlador de domínio do Active Directory usando BIND_DLZ como back-end.
Além disso, estou executando um dispositivo secundário também configurado como um controlador de domínio do Active Directory também com BIND_DLZ como back-end para fins de redundância.
Os endereços IP são atribuídos pelo servidor DHCP ISC que pode atualizar os registros de recursos DNS usando uma chave de criptografia (TSIG).
De qualquer forma: para o meu problema.
Aqui está minha configuração atual
named.conf.options:
options
{
directory "/var/cache/bind";
forwarders {
2001:4860:4860::8888;
2001:4860:4860::8844;
8.8.8.8;
8.8.4.4;
};
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
listen-on port 53 { 192.168.1.240; };
listen-on port 5353 { 127.0.0.1; }; <-- Used for Netflix IPv6 filter only.
tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";
minimal-responses yes;
recursion yes;
};
acl "home-net"
{
127.0.0.1;
192.168.1.0/24;
2001:db8:cafe:beef::/56; # <-- I am using a IPv6 range from Tunnelbroker in real life.
};
view "normal"
{
include "/etc/bind/named.conf.default-zones";
include "/etc/bind/named.conf.internal";
# Netflix really dislike Tunnelbroker IPv6, so I am dropping any Netflix AAAA ressources records.
include "/etc/bind/netflix-ipv6-blackhole.conf";
match-clients
{
home-net; # <-- Only respond to queries originating from my own network.
};
dnssec-enable yes;
dnssec-validation auto;
allow-query { any; };
allow-query-cache { home-net; };
allow-recursion { home-net; };
forwarders {
8.8.8.8;
8.8.4.4;
2001:4860:4860::8888;
2001:4860:4860::8844;
};
};
nomeado.conf.internal:
zone "1.168.192.in-addr.arpa"
{
type master;
file "/etc/bind/db.192.168.1.rev";
notify yes;
allow-query { any; };
allow-transfer { xfer; };
# If allow-update is enabled instead of the include named.conf.update line,
# then Dynamic DNS works fine due to ISC DHCP can update the ressource records.
#
# Sadly you can't have both lines enabled. It is either / or.
// allow-update { key ddns-key; };
include "/var/lib/samba/bind-dns/named.conf.update"; # <-- Having issues with THIS line only.
};
include "/var/lib/samba/bind-dns/named.conf";
/var/lib/samba/bind-dns/named.conf:
dlz "AD DNS Zone" {
# For BIND 9.11.x
database "dlopen /usr/lib/arm-linux-gnueabihf/samba/bind9/dlz_bind9_11.so";
};
/var/lib/samba/bind-dns/named.conf.update:
/* this file is auto-generated - do not edit */
update-policy {
grant EXAMPLE.COM ms-self * A AAAA;
grant [email protected] wildcard * A AAAA SRV CNAME;
# Main Active Directory Domain Controller
grant [email protected] wildcard * A AAAA SRV CNAME;
# Backup Active Directory Domain Controller
grant [email protected] wildcard * A AAAA SRV CNAME;
};
Se eu tentar iniciar o bind com esta configuração, obterei um erro bastante estranho que não consigo descobrir:
/var/lib/samba/bind-dns/named.conf.update:3: name field not set to placeholder value '.'
Existe alguém que possa me dar uma pista sobre o que está errado com o named.conf.update?
OK, você tem dois Samba AD DC's usando o Bind9 para o servidor dns e está tendo problemas com o dns, gostaria de saber se isso pode ter algo a ver com seus arquivos de ligação incorretos?
Um grande problema é que você tem a zona reversa em um arquivo simples, isso não é permitido, você precisa criá-lo AD, você pode usar a ferramenta samba para fazer isso. Você também não pode usar 'visualizações'
Tente estes arquivos conf do bind9:
/etc/bind/named.conf
inclua "/etc/bind/named.conf.options"; inclua "/etc/bind/named.conf.local"; inclua "/etc/bind/named.conf.default-zones";
/etc/bind/named.conf.options
opções {
};
/etc/bind/named.conf.local
inclua "/var/lib/samba/bind-dns/named.conf";
// A Netflix realmente não gosta do Tunnelbroker IPv6, então estou descartando qualquer registro de recursos AAAA da Netflix.
inclua "/etc/bind/netflix-ipv6-blackhole.conf";
Se você fez backup de /var/lib/samba/bind-dns/named.conf.update Então restaure a partir do backup. Se não, então mude para isso:
/* este arquivo é gerado automaticamente - não edite */ update-policy {
};