ich habe einen “Externer DNS-Server”, in dem Fall unseren Router, in UCS gesetzt (UCR dbs/forwarder1) Nun kann ich DNS Einträge vom Router auch von der UCS Maschine erreichen. Von den Clients aber leider nicht. Das heisst UCS gibt die DNS Anfrage eines Clients nicht an den Router weiter. Nur leider keine Ahnung warum nicht. muss ich das noch irgendwo explizit erlauben?
“dbs/forwarder1” ist vermutlich nur ein Typo in Ihrem Post.
Meine erste Frage wäre demnach die, mit welchen Methoden Sie auf dem Server getestet haben und wie sichergestellt wurde, dass die Clients auch wirklich den UCS als DNS verwenden.
Für den Test auf dem Server empfehle ich “dig” (siehe z.B. http://www.thegeekstuff.com/2012/02/dig-command-examples). Dort sehen Sie in der “SERVER:” Zeile die IP des Systems, welches Ihnen geantwortet hat. Ohne Angabe eines Servers bei Dig wird das in der UCRV “nameserver1” angegebene System befragt. Normalerweise steht da erstmal die DC-Master. Und den sollten in der einfachsten Installationsweise auch die Clients benutzen und ohne zusätzliche Freischaltung befragen können.
Den Ausgaben kann ich zunächst nur folgendes entnehmen:
es wird der auf 127.0.0.1 lauschende Bind befragt
dieser hört zwar noch, antwortet nach ein paar Sekunden nicht mehr wie erwartet
Ich finde es zwar ungewöhnlich, dass “localhost” befragt wird - bislang habe ich nur gesehen, dass in der o.g. UCRV (und damit in /etc/resolv.conf) eines Masters seine primäre Public-IP steht - grundsätzlich solte das aber für das aktuelle Problem nicht von Belang sein.
Es gilt zunächst, herauszufinden, was den Bind dazu bewegt, plötzlich NXDOMAIN zu liefern.
Also Logs schauen, in /var/log: messages, syslog und daemon.log
dns/backend ist natürlich auch wichtig, wenn Sie Samba 4 betreiben, stellt dieser per default die DNS-Informationen.
die logs liefern leider nichts aussagefähiges… was mich doch noch viel mehr stutzig macht. bind setzt erst NXDOMAIN nach die Seite einmal aufgerufen wurde. Solange die Webseite NICHT aufgerufen wird, stimmt der DNS!!!
Ist das so reproduzierbar? Also wirklich mit der Reihenfolge
bind starten
domain abfragen → Erfolg
warten
domain abfragen → Fehlschlag
bind neu starten
Tests wiederholen
Weiterhin sollte man mal schauen, ob es wirklich an dieser einen Domain liegt und der Bind sich normal verhält, wenn man diese Domain nicht abfragt. Wenn dem so wäre, müssten wir wissen, was dies für eine Domäne ist. Wäre es zum Beispiel die lokale vom Samba verwaltete Domäne, müsste man schauen, ob sich in den Samba-Logs etwas findert. Oder testweise mal das DNS-Backend umschalten (Doku beachten).
ja ist reproduzierbar. ich kann egal welche domain nehmen, alles was auf .intern endet verhält sich so. Jede andere Domain verhält sich ganz normal und wird auch ordentlich weiter geleitet.
Das Verhalten des Binds ändern sich für die .intern Domain auch erst nach dem die Webseite geladen wurde oder ein Telnet auf Port 80 zum Beispiel erfolgte.
Man soll nie “nie” sagen, aber eine Abhängigkeit von Anfragen an den Webserver zum beschriebenen Verhalten des DNS erscheint mir erstmal etwas weit weg. Ich würde denken, dass durch die http-requests DNS-Anfragen ausgelöst werden. Das sollte man auch ohne Browser wie beschrieben reproduzieren können.
Die Aussage “alles, was aus .intern endet verhält sich so” wäre ebenfalls ergänzungswürdig. Sie hatten oben das Beispiel mit “quark.intern” angeführt. Ist das ein von Ihnen definiert Rechnername? Heißt die Zone somit “.intern”?
Und was hat der antwortende DNS goertlitz.gr.gc mit der Sache zu tun? Zumal der UCS ja auch “ucs” heißt.