Moin,
Auf unserem UCS-Master trinculo gibt’s Tonnen folgender Meldungen:
Apr 16 15:02:22 trinculo named[19275]: samba_dlz: starting transaction on zone bs.linet-services.de
Apr 16 15:02:22 trinculo named[19275]: samba_dlz: disallowing update of signer=amarone\$\@BS.LINET-SERVICES.DE name=Amarone.bs.linet-services.de type=AAAA error=insufficient access rights
Apr 16 15:02:22 trinculo named[19275]: client 10.199.92.13#59986: updating zone 'bs.linet-services.de/NONE': update failed: rejected by secure update (REFUSED)
Apr 16 15:02:22 trinculo named[19275]: samba_dlz: cancelling transaction on zone bs.linet-services.de
Das gleiche Problem haben wir mit fast allen Windows-Rechnern und -Servern. amarone selber ist ein Windows 7, das Problem besteht aber auch mit Windows Server 2008, Windows 8.x. Alle Windows-Rechner sind in die Domäne gejoint. Die IP-Adresse für amarone ist ebenfalls korrekt:
[0 root@trinculo ~] host amarone.bs.linet-services.de
amarone.bs.linet-services.de has address 10.199.92.13
Die Datei /var/lib/samba/private/named.conf.update:
/* this file is auto-generated - do not edit */
update-policy {
grant BS.LINET-SERVICES.DE ms-self * A AAAA;
grant Administrator@BS.LINET-SERVICES.DE wildcard * A AAAA SRV CNAME;
grant TRINCULO$@bs.linet-services.de wildcard * A AAAA SRV CNAME;
};
und sie wird in /etc/bind/named.conf.samba4 auch richtig includiert.
Es funktioniert eigentlich nur bei unserem Windows-2008-Server:
Apr 16 04:11:58 trinculo named[19275]: samba_dlz: starting transaction on zone bs.linet-services.de
Apr 16 04:11:58 trinculo named[19275]: samba_dlz: allowing update of signer=equinox\$\@BS.LINET-SERVICES.DE name=equinox.bs.linet-services.de tcpaddr= type=AAAA key=1160-ms-7.247-1816e6ed.9e607b14-c15f-11e3-50a2-000c29dc13a5/160/0
Apr 16 04:11:58 trinculo named[19275]: samba_dlz: allowing update of signer=equinox\$\@BS.LINET-SERVICES.DE name=equinox.bs.linet-services.de tcpaddr= type=A key=1160-ms-7.247-1816e6ed.9e607b14-c15f-11e3-50a2-000c29dc13a5/160/0
Apr 16 04:11:58 trinculo named[19275]: samba_dlz: allowing update of signer=equinox\$\@BS.LINET-SERVICES.DE name=equinox.bs.linet-services.de tcpaddr= type=AAAA key=1160-ms-7.247-1816e6ed.9e607b14-c15f-11e3-50a2-000c29dc13a5/160/0
Apr 16 04:11:58 trinculo named[19275]: samba_dlz: allowing update of signer=equinox\$\@BS.LINET-SERVICES.DE name=equinox.bs.linet-services.de tcpaddr= type=AAAA key=1160-ms-7.247-1816e6ed.9e607b14-c15f-11e3-50a2-000c29dc13a5/160/0
Apr 16 04:11:58 trinculo named[19275]: samba_dlz: allowing update of signer=equinox\$\@BS.LINET-SERVICES.DE name=equinox.bs.linet-services.de tcpaddr= type=A key=1160-ms-7.247-1816e6ed.9e607b14-c15f-11e3-50a2-000c29dc13a5/160/0
Apr 16 04:11:58 trinculo named[19275]: client 10.199.93.20#57491: updating zone 'bs.linet-services.de/NONE': deleting rrset at 'equinox.bs.linet-services.de' AAAA
Apr 16 04:11:58 trinculo named[19275]: samba_dlz: cancelling transaction on zone bs.linet-services.de
(Unter der Annahme, dass »cancelling transaction« am Ende trotzdem Erfolg bedeutet)
Im von mir ursprünglich verfassten [bug]34595[/bug] dazu tippte Stefan Gohmann darauf, dass die DNS-Einträge manuell als Admin angelegt wurden. Das trifft in der Tat zu. Nun ist für mich die Frage, wie ich das wieder geradeziehe.
Eigentlich mehrere Fragen.
- Wie fixe ich die Berechtigungen der DNS-Einträge, sodass auch die dynamischen Updates funktionieren? Alternativ, wie lösche ich die DNS-Einträge so, dass sie danach automatisch mit den richtigen Berechtigungen eingerichtet werden? Was ich vermeiden will ist, dass ich die Windows-Rechner allesamt aus der Domäne herauswerfen und wieder joinen muss…
- Warum erscheint in dem oben zitierten Beispiel die Meldung »cancelling transaction…«, obwohl alle darüber stehenden Einträge augenscheinlich erlaubt waren, und wie fixe ich das nun wieder?
Danke sehr.
MfG,
Moritz Bunkus