Beschränkung von DNS-Zonentransfers nicht möglich

Hi,

ich betreibe gerade ein Testsystem bestehend aus einem UCS-Master- und einem UCS-Backup-Server, die beide zukünftig eine Windows-AD-Domäne beereitstellen sollen.

Per default ist auf den zugehörigen DNS-Servern ein DNS-Zonenen-Transfer global erlaubt - dies würde ich gerne beschränken. Laut UCS-Doku genügt es hierzu die UCR-Variable dns/allow/transfer auf none zu setzen. Das DNS-Backend ist aktuell auf ‘samba4’ eingestelt.

Auch nachdem die UCR-Variable gesetzt wurde, ist es dennoch weiterhin möglichZonen-Transfers von Dritt-Rechnern aus durchzuführen. (In ‘/etc/bind/named.conf.samba4’ ist aber ‘allow-transfer { none; };’ angeben), Erst nach einen Wechsel des DNS-Backends über die UCR-Variable dns/backend von ‘samba4’ auf ‘ldap’ werden Zonen-Transfers erfolgreich geblockt.

Habe ich hier evtl. etwas übersehen und muss noch zusätzlich etwas eingestellt werden, um DNS-Zonen-Transfers zu blockieren? Oder kann hier alternativ - auch wenn Samba4 für den AD-Betrieb installiert ist - einfach das LDAP-Backend für Bind/DNS verwendet werden?

Hey,

wenn Sie sich mal die Doku zu der Einstellung ansehen (ucr search transfer), so steht da, dass sich die Option in der Tat nur auf das LDAP-Backend auswirkt. Das ist eine bekannte Einschränkung des Samba-Bind-DLZ-Moduls: siehe Abschnitt »Known issues/missing features«.

Gruß
mosu

Hi,

danke für die schnelle Info! Ich hätte die Beschreibung einfach mal bis zum Ende lesen sollen :-/.

Sehe ich das richtig, dass bei einem Samba4 AD-DC dann einfach alternativ auch das LDAP-Backend für den DNS-Service verwendet werden kann?

Jein, Sie verlieren dadurch dann auch Funktionalität, z.B. dass Domänen-gejointe Windows-PCs ihren eigenen DNS-Eintrag auf ihre aktuellen IP-Adressen aktualisieren.