Dhcp / ddns

german

#1

Hallo zusammen,

ich bin seit ein paar Tagen dabei UCS zu testen, um hoffentlich den bestehenden, alten DC zu ersetzen.

Woraus ich allerdings bisher gar nicht schlau wurde, ist das DNS-Konzept, vielleicht kann mir jemand helfen:

Ich möchte einen DHCP-Server aufsetzen, am liebsten nicht den von Univention sondern vom bestehenden Router, aber das ist kein muss. In beiden Fällen ist jedoch erforderlich, dass DHCP-Clients über ihren Hostnamen erreichbar sein müssen, ohne, dass ich alle Einträge von Hand anlegen muss. Konkret geht es um Drucker, IP-Kameras und “temporäre Server”.

Sollte das aus der Basisinstallation heraus klappen und ich habe einfach nur etwas falsch gemacht? Die Einstellungen im DHCP (Richtlinie DHCP DNS Aktualisierung) schlagen fehl.

Was muss ich tun, damit ein DHCP-Server automatisch die Clients im samba4-DNS anlegt - also z.B. ip-cam01.ad.mydomain.xyz? Der Workaround mit zusätzlichen Zonen finde sehr unpraktisch, hätte gerne alles an einer Stelle…


Externer dhcp mit ddns
#2

Moin,

Univention hat limitierte Unterstützung für automatische Updates von DNS-Einträgen: nämlich ausschließlich für Windows-Maschinen, die in die Domäne gejoint werden. Diese aktualisieren ihre Computerkonten (und damit indirekt auch die DNS-Einträge), wenn sie neue IP-Adressen bekommen. Dies ist kryptographisch über Kerberos abgesichert.

Für alle anderen Clients, ob es nun Linux-Maschinen sind oder Netzwerkgeräte wie Drucker, gibt es bei UCS leider keinen automatischen Mechanismus zur Aktualisierung des Hostnamen. Hier stellt sich Univention auf die Seite der Sicherheit. Ansonsten könnte man relativ einfach Szenarien entwickeln, in denen sich ein DHCP-Client mit dem Namen des UCS-Master-Servers eine Adresse holt, und würde dann der DNS-Eintrag des Master-Servers auf die gerade per DHCP vergebene Adresse gesetzt, würde die komplette Domäne plötzlich nicht mehr funktionieren.

Man kann sich begrenzt ein wenig mit Scripting behelfen (manuell Syslog nach DHCP-Vergaben parsen, MAC-Adresse und Hostnamen extrahieren, über das Kommandozeilentool »udm« die DNS-Einträge setzen, sofern Hosts auf einer wie auch immer gearteten Whitelist stehen), aber dazu habe ich leider keine fertige Lösung zur Hand.

Edit: Ich habe bewusst die Variante mit einer separaten Zone weggelassen, weil Sie die ja schon abgelehnt haben.

Gruß,
mosu


#3

Hallo,

vielen Dank für die Information! Ist dann eine zusätzliche Zone die gängige Praxis in Unternehmensnetzwerken?
Mein aktueller Plan wäre dann wohl doch für alle Clients vom DHCP zusätzlich die “dhcp.ad.mydomain.com” anzulegen. Damit dann auch Hostnamen ohne die Zone aufgelöst werden können, setze ich über DHCP einfach die zusätzliche Search-List, richtig?
Das würde dann - nach meinem Verständnis - auch keine Sicherheitslücke darstellen, da ich ja die relevanten Dienste unter ad.mydomain.com habe und dhcp.ad.mydomain nur den praktischen Vorteil z.B. der Drucker-Einrichtung über Hostnamen statt IP-Adressen bietet.
Aber wie sieht es bei dieser Variante mit Reverse-Lookups aus - kann ich zwei Reverse-Lookup-Zonen haben? Der Lösungsvorschlag von Petersen (Ddns) sieht eine zusätzliche Reverse-Zone für DHCP-Clients vor. Verstehe ich da was falsch oder hat diese eigentlich gar keine Funktion?

-manuel


#4

Moin,

zwei Reverse-Zonen geht natürlich nicht.

Wir nutzen DDNS bei unseren Kunden eher selten für Nicht-Windows-Geräte. Die bekommen entweder schlicht feste Adressen zugewiesen (entweder statisch oder auch über DHCP mit MAC-zu-IP-Kopplung), oder sie sind einfach nicht so wichtig, dass man dauernd ihren Namen bräuchte. Und die ganzen Windows-Maschinen erledigen ihre DNS-Updates ja selber.

Gruß,
mosu