névfeloldás nem müködik(megoldva)

Web, mail, IRC, IM, hálózatok

DDNS beállítása után nem müködik a névfeloldás.
Csak a reverse névfeloldás müködik.

gw@gw:~$ host fajitaspc-pc.samba.peldasuli.local 127.0.0.1

Host fajitaspc-pc.samba.peldasuli.local not found: 3(NXDOMAIN)

ITT a gépnév:fajitaspc-pc.samba
A domain név:peldasuli.local

Tehát a domain név keresési listában benne van a peldasuli.local(resolv.conf-ban)

Valószínűleg elgépeltem valamit a konfigban, Csak még sajnos nem jöttem rá hogy mit :(

http://pastebin.com/vnFx3Ypm

LOG Fájlom:

https://drive.google.com/file/d/0Bw2SR6We91xoeE9BeE1Od3ZrWms/view?usp=s…

  • 3415 megtekintés

( stra | 2016. 11. 03., cs – 11:43 )

Az látszik, hogy a reverse zóna aktualizálódik, de nem a jó "FAJITASPC-PC.SAMBA.peldasuli.local." FQDN-re, hanem a "FAJITASPC-PC.SAMBA."-ra; a forward zóna nem aktualizálódik.

Az a sejtés, hogy nem tudja milyen zónában kellene megtennie, hiszen a DHCP konfigban nincs "samba." nevű zóna, csak "peldasuli.local.", és úgy tűnik, a kliens sem jól ismeri a saját domainnevét, vélhetően vagy "FAJITASPC-PC" hostnévre és "SAMBA" domainre van állítva, vagy "FAJITASPC-PC.SAMBA" hostnévre és üres domainnévre, és nem szerepel a domainben a "peldasuli.local", azaz nincs egyezés.

man dhcpd.options: 


       The ddns-domainname statement

         ddns-domainname name;

         The name parameter should be the domain name that will be appended to the client's hostname to form a fully-qualified domain-name (FQDN).

Állíts be "ddns-domainname"-et, és nézd meg úgy, illetve a kliens nevét is érdemes lenne megnézni. Ha ezeket a módosításokat megteszed, és nincs javulás, akkor egy frissített log társaságában térjünk vissza rá.

Ez van mögötte, elég jól le van vezetve példán keresztül:

man dhcpd.options: 


        allow client-updates;
        deny client-updates;

       The  client-updates  flag  tells the DHCP server whether or not to honor the client's intention to do its own update of its A record.  This is only relevant when doing interim DNS updates.
       See the documentation under the heading THE INTERIM DNS UPDATE SCHEME for details.

[...]

THE INTERIM DNS UPDATE SCHEME

[...]
The first point to understand about this style of DNS update is that
       unlike the ad-hoc style, the DHCP server does not necessarily always
       update both the A and the PTR records.   The FQDN option includes a
       flag which, when sent by the client, indicates that the client wishes
       to update its own A record.   In that case, the server can be
       configured either to honor the client's intentions or ignore them.
       This is done with the statement allow client-updates; or the statement
       ignore client-updates;.   By default, client updates are allowed.

       If the server is configured to allow client updates, then if the client
       sends a fully-qualified domain name in the FQDN option, the server will
       use that name the client sent in the FQDN option to update the PTR
       record.   For example, let us say that the client is a visitor from the
       "radish.org" domain, whose hostname is "jschmoe".   The server is for
       the "example.org" domain.   The DHCP client indicates in the FQDN
       option that its FQDN is "jschmoe.radish.org.".   It also indicates that
       it wants to update its own A record.   The DHCP server therefore does
       not attempt to set up an A record for the client, but does set up a PTR
       record for the IP address that it assigns the client, pointing at
       jschmoe.radish.org.   Once the DHCP client has an IP address, it can
       update its own A record, assuming that the "radish.org" DNS server will
       allow it to do so.

       If the server is configured not to allow client updates, or if the
       client doesn't want to do its own update, the server will simply choose
       a name for the client from either the fqdn option (if present) or the
       hostname option (if present).  It will use its own domain name for the
       client, just as in the ad-hoc update scheme.  It will then update both
       the A and PTR record, using the name that it chose for the client.   If
       the client sends a fully-qualified domain name in the fqdn option, the
       server uses only the leftmost part of the domain name - in the example
       above, "jschmoe" instead of "jschmoe.radish.org".

       Further, if the ignore client-updates; directive is used, then the
       server will in addition send a response in the DHCP packet, using the
       FQDN Option, that implies to the client that it should perform its own
       updates if it chooses to do so.  With deny client-updates;, a response
       is sent which indicates the client may not perform updates.

Ugye most a "fajitaspc-pc.peldasuli.local."-t próbáltad feloldani, nem az eddigi "fajitaspc-pc.samba.peldasuli.local."-t?
A logban mit láttál? Ugyanúgy nincs A-rekord update, vagy van, de hibás? A PTR update a "fajitaspc-pc.peldasuli.local."-ra ment? Lett beírva ddns-domainname, és ha igen, mi?

Nem teljesen, most a bind/named kapcsán DDNS-ről beszélünk. Van egy zónád, abban egy resource record frissítése, aktualizálása.
Az "ipconfig /registerdns" update-el, de az "ipconfig /renew" is csinál ilyet.

A DHCP kliens bevésetheti a nevét és a kapott IP-t egy A-rekord képében közvetlenül a DDNS szerverrel, vagy pedig meghagyhatja a DHCP szervernek, hogy a DHCP szerver aktualizálja a DDNS-ben (lásd: az előző hozzászólásban idézett "THE INTERIM DNS UPDATE SCHEME").

Például engedélyezheted a bindban, hogy a kliens is tudja update-elni a zónát: allow-update.

Azt tudjuk, hogy az utoljára vázolt helyzetben azért, mert a DHCP szerver nem akarja a forward DNS zónába felvenni az A rekordot, viszont a kliens megpróbálná, csak nincs neki megengedve a Bind konfigjában (named.conf.local, a zóna alatt az allow-update kiegészítése). Ha ezt beírod, akkor elvileg működni fog, és utána el lehet játszani azzal, hogy a DHCP szerver mi okból nem akar update-elni.

ddns-domainname: A legelső hozzászólásban van egy szép man részlet erről, ami a dhcpd.conf-ba tud kerülni.

Nem látom, amit te látsz.

"Végre így hogy beállítottam müködik a forward zóna dinamikusan."
Ez nem látszik a logban. Biztos, hogy nem az utolsó sikeresen update-elt rekordot látod?

"Így kitöröltem az allow update -ből a dhcp kliens ip tartományát."
Ez látszik, a kliens update-elni próbál, de a DNS szerver elutasítja.

( SzBlackY | 2016. 11. 04., p – 12:46 )

Nem lenne egyszerűbb, ha leírnád, hogy mit akarsz megvalósítani ahelyett, hogy konfig-részleteket vagdosol be itt-ott?
A hozzászólások alapján egy Samba AD-t akarsz építeni, de a konfigodban egy sima fájlt használ a Bind - és ránézésre nem a Samba által előállítottat (egyébként meg ne használd a Bind-ot flat file samba back-enddel, nem támogatott és ki fogják vezetni). Első körben működjön a névfeloldás (DNS, nem a NetBIOS - az is elég egy domain joinhoz, ha jól emlékszem), utána kezdj el a ddns-en gondolkodni, hogy hogyan lenne a legjobb.

Addig is néhány alapvetés:
* a .local-t NE használd
* a Bind + Samba AD kombó a Samba DLZ-vel menjen

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Idézek:
Nem lenne egyszerűbb, ha leírnád, hogy mit akarsz megvalósítani ahelyett, hogy konfig-részleteket vagdosol be itt-ott?

Semmi mást nem akarok megvalósítani csak annyit hogy hogy a a dinamikusan tudjak feloldani host nevet.
Nem Sambát akarok, az már van.

Bocsi hogy bevagdostam a konfigom. Majd odafigyelek rá.
Csak sajnos elakadtam.

update 'peldasuli.local/IN' denied
Ezzel nem tudok mit kezdeni.

Nem tudsz valami használható doksit nekem? Még az ubuntu.hu-n sincs semmi DDNS témában.

ARM, zone Statement Grammar
Az allow-update egy listát vár a kapcsos zárójelek között, az egyes listaelemek végén pontosvesszővel. Nem egy újabb bejegyzéssel kell megadni. Illetve nem értem, miért akarod negálni az IP tartományt, miért a 192.168.1.0/24 kivételével akarnád mindenhonnan máshonnan elfogadni.

Írtam már, de azért újra: ez most arra jó, hogy valahogyan működjön. De végül majd úgy lenne szép, ha a DHCP szerver update-elné a DNS-t, nem az egyes klisensek. Valamint az SzBlackY által felvetett Samba/AD vonalat is tartsd fejben.

De van dokumentáció, linkeltem is az előző hozzászólásokban: BIND 9 Administrator Reference Manual

"egy listát vár a kapcsos zárójelek között, az egyes listaelemek végén pontosvesszővel". Nem listaelemek a kapcsos zárójelek között, hanem lista. A lista szintaxisa itt: Address Match Lists 

allow-update { key "rndc-key"; 192.168.1.0/24; };

Megjegyzés: a DHCP konfiggal összhangban elég lenne csak a 192.168.1.111-192.168.1.222 tartományt megadni, ami egyébként elég szerencsétlen pool választás, 8 prefixszel írható le.

"De csak a peldasuli.local zónánál írtam át az allow -update-t. a 168.192-nél nem mert az müködött."
Igen, ez így jó.

"a kiosztható tartományt meg átírtam 192.168.1.111-192.168.1.122 -re . Az előző tartomány miért nem volt jó?"
Ezt nem teljesen értem. A kioszthatót? De hát pont azt írtam, hogy a pastebinre feltett konfigod szerint ezt a 112 darab címet osztod DHCP-vel a 192.168.1.0/24 hálózatban (range). Én azt írtam, hogy a DNS szerverben elég megengedni ennek a 122 IP-nek az update-et, nem feltétlen kell a 256 darabnak, hiszen a többi - gondolom - statikus kiosztású cím.

Bonyolitod szegenynek az eletet, szerintem neki jelenleg egyszerubb, ha a komplett subnetnek megengedi az update-t, azt legalabb mar kezdi erteni, hogy kell. Haladjunk lepesenkent, most a biztonsagi megfontolasok masodlagosak, egyelore oldodjon meg a problemaja, utana lehet hardeningolni.
--
Blog | @hron84
Üzemeltető macik

update 'peldasuli.local/IN' denied
Ezzel nem tudok mit kezdeni.

Pedig ennel vilagosabban nem fog neked fogalmazni. A DNS szerverben meg kell engedned, hogy a DHCP kliensek tudjanak DDNS-update -t kezdemenyezni. Fel kell venni az allow-update -be a megfelelo IP alhalot, doksi itt
--
Blog | @hron84
Üzemeltető macik

Nem Sambát akarok, az már van.

Viszont annak kell, hogy stimmeljen a DNS, különben nagyon problémásan fog működni, úgyhogy azzal összehangolva kellene megcsinálni.

Induljunk nulláról (kód blokkbak, hogy legyen behúzás): 


* A Samba AD DNS neve is peldasuli.local?
  * Ha igen: ugyanazon a gépen van a most állított Bind, mint az AD DC?
    * Ha nem: az összes AD-hez szükséges rekord (rengeteg _SRV rekord és ami lényegesebb az _msdcs.peldasuli.local zóna) elérhető valahogy a most beállított Bind-on keresztül? (ezesetben a peldasuli.local zónát felviheted forward zónaként, a forwarder-ben megadva a DC-id IP címeit)
    * Ha igen: használd a Bind-nál a Samba DLZ backend-et a peldasuli.local zónára (egy "include /var/lib/samba/private/named.conf" első körben elég ill. a named.conf.options-ben az options {} részbe egy tkey-gssapi-keytab "/var/lib/samba/private/dns.keytab"; kell a Kerberos alapú updateléshez. Az isc-dhcp afaik nem fog tudni Kerberosszal autholt ddns-kéréseket küldeni, egy lehetséges workaround van itt rá: http://blog.michael.kuron-germany.de/2011/02/isc-dhcpd-dynamic-dns-updates-against-secure-microsoft-dns/
  * Ha nem: akkor ez az egész monológ tárgytalan, de mivel a kliensed próbálta a címét update-lni, felteszem, hogy igen :)

update 'peldasuli.local/IN' denied

Azt a denied-ot a naplóidban csak ott látom, amikor a kliensed próbálja frissítgetni a saját rekordjait, nem amikor a DHCP szerver, úgyhogy azzal nincs gond.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

win NT stílusú AD.

Ez így két külön fogalom, az NT-style domain a Windows NT sorozatban volt, a Windows 2000-ben jelent meg az Active Directory (AD) domain (ami felülről kompatibilis az NT domainekkel, de jóval többet tud).

Felteszem nem NT-stílusú domained van (bár fene se tudja), úgy rémlik hetest (a screenshotból) abba már nem lehetett léptetni.

--
Disclaimer: egy Debian Jessieről írom a fájlneveket, gondolom Ubuntun is az van.

A többi: gondolom akkor a Bind-ot akarod a klienseken beállítani DNS kiszolgálónak a Samba meg csak a saját zónáit kezeli, igaz? Állítsd be forward zónának a peldasuli.local-t és a 168.192.in-addr.arpa -t és küldd át a samba DC-hez: 


zone "peldasuli.local" {
        type forward;
        forwarders { 192.168.0.123; }; /* 123 helyett a DC IP-címe (ha több DC-d van, sorold fel mindet) */
};

zone "168.192.in-addr.arpa" {
        type forward;
        forwarders { 192.168.0.123; };/* Szintén */
};

Így az erre a két zónára irányuló kéréseket átküldi a bind-od a DC-dre, minden mást meg kezel, ahogy tud (vagy ő feloldja [lásd a named.conf.default-zones-t], vagy átadja a "globális" forwarderednek [options {} részben levő forwarders]).

Ezután a DC-n hozd létre a reverse zónát (vagy a Windows-os RSAT-beli DNS kezelővel vagy egy samba-tool dns zonecreate localhost 168.192.in-addr.arpa paranccsal) és indítsd újra a samba-t (ha a Samba internal DNS-t használod, Bind DLZ-vel nem kell).

Ha minden eszköz, amit arra a hálóra kötsz be lesz léptetve a domainba, akkor igazából innentől kezdve rábízhatod a kliensekre, hogy tutujgassák a rekordjaikat (7 óta alapból a reverse zónát nem bántja alapbeállítáon, csak a forwardot, GP-ből át tudod lőni), azok szépen a számítógép-fiókkal hitelesítve tudják updatelni.

A másik megoldás, hogy a domainba léptetett gépeken letiltod a DNS updateket (hogy ne logolja feleslegesen, hogy nem sikerült neki :) ), a DHCP szervernek létrehozol egy user, ami tagja a DnsAdmins csoportnak, exportálod a keytabot (ez három samba-tool parancs), a keytabot átteszed a DHCP szerverre és a fentebb linkelt írásból a scriptet felteszed és a DHCP konfigba az eseménykezelőket beállítod.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

A domainbe léptetett gépek nem érik el a tartományvezérlőket (ezért ha más nem, az SRV rekordokat valahogy tedd elérhetővé ill. az _msdcs.peldasuli.local zónára irányuló kéréseket dobd át a DC-nek)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Idézek az ubuntu.hu -ról:

Noha a Samba kiszolgáló nem képes Active Directory elsődleges tartományvezérlőként (PDC) működni, beállítható a Windows NT4-stílusú tartományvezérlőként való megjelenésre.

Most ha én így használom a samba-t , akkor is kell dns konfigurálás?

Azt írtad:
A domainbe léptetett gépek nem érik el a tartományvezérlőket (ezért ha más nem, az SRV rekordokat valahogy tedd elérhetővé ill. az _msdcs.peldasuli.local zónára irányuló kéréseket dobd át a DC-nek)

Nekem nem volt ilyen problémám még.

Idézek az ubuntu.hu-ról:

A Samba másik felhasználási módja a meglévő Windows hálózatba való integrálás.(az enyém nem ez a megvalósítás)

Most te nem erre gondoltál hogy nekem ilyen hálózatom van?

Most összekavarodtam.
Az én hálózatom így néz ki:
Van 2 db linux szerverem: Egy a proxy a netet szolgáltatja + egy fájlszerver (samba). És Win7 -es gépek lépnek be ebbe a samba által kezelt tartományba.( NT4-stílusú tartományvezérlőként müködik a samba)

NT4 tartományban Win7? Annak hivatalosan nem kéne működnie. (NT4 supportja a Vista környékén járt le, de azt hiszem csak 8.1-nél tört el teljesen). Annál (ha NT stílusú PDC-d van) tényleg nem kell a DNS, elég a NetBIOS/WINS.

Egyébként az a mondat jó pár éve téves, a Samba4 óta teljes értékű AD tartományt tudsz vele csinálni. Ha rám hallgatsz, próbáld ki a 4-es Samba-t, nagyon automatizáltan kapsz vele egy biztonságos, korszerű AD-t, és mivel kevésbé legózható, a jóval standardabb konfighoz egyszerűbb segítséget kapni. (és 10-essel is gond nélkül működik, anélkül, hogy mindenféle fallback mechanizmusokkal kéne operálnia)

Szerk.: ubuntu.hu helyett Samba témában mindig a Samba Wiki-t olvasd, a fenti két idézetet speciel a 10.10-es Ubi doksijai közt találtam meg... az még azt hiszem 3.4-es ág, azóta már a 3.6, a 4.0, a 4.1 és a 4.2 is unsupported, és sok esetben az ott szereplő dolgok már nem aktuálisak.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Nálam AD DC-ként futnak a Sambák, rémlik valami registry hack (mondjuk az úgy rémlett sima fájl böngészéshet kellett).

A Samba Wiki-ben (https://wiki.samba.org/index.php/Required_Settings_for_Samba_NT4_Domains) azért írnak egy-két problémásnak tűnő részletet (pl. hogy ha Win10 klienseid is vannak, korlátoznod kell a max protokollt, amivel bukod az összes protokoll-fejlesztést az NT4 óta)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)