DNS Forward will nicht klappen UCS

Donald · May 2, 2018, 7:12am

Wie ist denn der aktuell vorgesehen Weg für ein DNS-Forward?
Ich möchte eine Reverse-Zone auf einen anderen Server verweisen lassen. Eigentlich ist dieser Server schon als globaler Forwarder eingetragen, aber Bind hat ja private Adresseräume schon buildin und so kommt diese Antwort:

;; QUESTION SECTION:
;207.72.168.192.in-addr.arpa.   IN      PTR

;; AUTHORITY SECTION:
168.192.IN-ADDR.ARPA.   86400   IN      SOA     168.192.IN-ADDR.ARPA. . 0 28800 7200 604800 86400

Ohne Erfolg habe ich auch das hier versucht:
https://wiki.univention.de/index.php?title=Cool_Solution_-_DNS-Forwarding_and_subdomains

ThorstenS · May 2, 2018, 11:46am

Das Thema hat mich auch ne Weile beschäftigt.

root@master:/etc/bind# ucr search --brief dns/backend
dns/backend: samba4

Wenn das backend nicht auf samba4, sondern auf ldap steht, dann muß man unten die Datei local.conf.proxy anstelle der local.conf.samba4 bearbeiten.

Zuersteinmal muß man dem bind abgewöhnen sich selbst für diese Subnetze verantwortlich zu fühlen:

root@master:/etc/bind# egrep -v "^$|//" named.conf.options
options {
	directory "/var/cache/bind";
	dnssec-validation auto;
	auth-nxdomain no;    # conform to RFC1035
	listen-on-v6 { any; };
	disable-empty-zone "168.192.in-addr.arpa";
	disable-empty-zone "3.168.192.in-addr.arpa";
};

Beim durchstarten des bind sieht man in der daemon.log, ob das Erfolg hatte.

Danach erst kann man seine forwards definieren:

root@master:/etc/bind# cat local.conf.samba4
# add local zones here
zone "3.168.192.in-addr.arpa" IN {
 type forward;
 forwarders { 172.16.14.67; 172.16.14.68; };
};

zone "intern.domain.tld" IN {
  type forward;
  forwarders { 172.16.14.67; 172.16.14.68; };
};

Donald · May 2, 2018, 2:50pm

Samba4 ist ja bei mir das Backend.
Laut Dolu reicht auch die Config für eine Zone, um die Empty-Zonen zu überschreiben:
https://deepthought.isc.org/article/AA-00800/0/Automatic-empty-zones-including-RFC-1918-prefixes.html
(Gelber Kasten)

unless they’re either configured explicitly or have that automatic zone disabled using the disable-empty-zone option

Mit deinem Hinweis hatte ich bisher keinen Erfolg.

ThorstenS · May 2, 2018, 3:37pm

Sorry, stimmt. Ich hab mich vorhin vertan - die Anpassung muß in die named.conf.samba4¹

   listen-on-v6 { any; };
   # 2017-12 https://deepthought.isc.org/article/AA-00800/0/Automatic-empty-zones-including-RFC-1918-prefixes.html
   #empty-zones-enable no;
   disable-empty-zone "168.192.IN-ADDR.ARPA";

Nach einem service bind9 restart kannst du überprüfen, ob bei diesem Subnetz noch das flag aa angezeigt wird, oder nicht. So sollte es ausschauen:

 root@master:/etc/bind# dig -x 192.168.3.2 @localhost | grep "flags: "
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

[1] wohlwissend, dass diese Datei durch ein Template erzeugt wird und bei einem Update überschrieben werden wird.

Donald · May 3, 2018, 6:51am

Ok, das funktioniert.

Sollte aber auch ohne disable-empty-zone gehen.
Denn mein interner DNS fährt ja diese Reverse-Zone, aber ohne das disable-empty-zone.
Es ist dabei die gleiche Bind-Version 9.9.5. wie beim UCS-Server.