BIND9 Updates über Forwarding Zone unterbinden

[pangu]

Hi Leute,

folgendes Szenario. Ich nutze den BIND9 v9.7.x für die Zone meinefirma.de

Jedoch möchte ich alle Anfragen auf *.irgendwas.meinefirma.de an einen bestimmten anderen DNS-Server weiterleiten. Hierzu verwende ich ich eine forwarding Zone in meiner BIND9 Konfiguration, die so aussieht:

Code: Alles auswählen

[...]
zone "irgendwas.meinefirma.de" {
   type forward;
   forwarders { 123.234.123.234; };
};
[...]

das funktioniert auch soweit tadellos. Jedoch ist mir heute aufgefallen, dass sämtliche Windows-Clients sich in der Zone irgendwas.meinefirma.de auf dem DNS-Server 123.234.123.234 auch registrieren. Das will ich aber eigentlich vermeiden. Diese Hosts sind bereits auf dem ersten DNS-Server (222.111.222.111) registriert, ich möchte nicht dass sie zusätzlich auch auf dem forwarder sich eintragen. Ich frage mich wieso sie das überhaupt tun? Werden solche requests standardmäßig auch über den forwarder weitergeleitet? wie es aussieht, ja.

Nun meine Frage an die BIND9 Pro's: kann man das irgendwie unterbinden? Die Hosts sollen lediglich Abfragen machen dürfen, aber sich nicht beim entfernten DNS-Server registrieren. Freue mich auf eure Tips.

Danke und Grüße,
Pangu

[Natureshadow]

Moin,

sind NS-Records irgendwie out oder so?

-nik

[pangu]

??? ich kann dir nicht folgen ? was meinst du damit? wieso sollten die out sein und hängt dsa dann damit zusammen? wie checke ich das?

[Natureshadow]

Man delegiert Zonen normalerweise mit NS-Records, nicht mit so einer Config.

[pangu]

könntest du mir dabei behilflich sein? ich habe momentan zwei BIND9 server laufen, einer ist master, der andre slave. Die Zone für die sie zuständig sind lautet meinefirma.de und ich wollte folgendes erzielen:

sobald Anfragen mit der Endung ad.meinefirma.de bei dem BIND9 server einreffen, sollen diese an meinen samba4 AD-Server weitergeleitet werden, der einen eigenen DNS-Dient beinhaltet. Mein Samba4-Server ist für die realm ad.meinefirma.de zuständig. So wie ich das bisher gemacht habe funktioniert das auch, bloss musste ich eben feststellen, das sich alle meine Windows-Hosts die *.ad.meinefirma.de angefragt hatten, auch im DNS des samba4-servers gelandet sind. Das konnte ich mir nicht erklären. Ich schätze wohl dass mein BIND9server wirklich ALLES forgewardet hat, sprich auch Registrierungsversuche der anfragenden Clients. Ist das so?

Wie müsste ich eine 'saubere' Delegierung vornehmen? Meine forward-Zonendatei sieht momentan wie folgt aus:

Code: Alles auswählen

$TTL 1W; 1 week
@       IN      SOA     masterbind9.meinefirma.de. admin.meinefirma.de.
(
              2013031401      ; serial
              8H; refresh time
              2H; retry time
              4W; expire
              11H; minimum negative cache
)
             NS      masterbind9.meinefirma.de.
             NS      slavebind9.meinefirma.de.
ad          NS      samba4dns.meinefirma.de.
masterbind9       A         192.168.0.1
slavebind9          A         192.168.0.2
samba4dns        A         192.168.0.200

und der Abschnitt der sowohl in meinem master als auch im slave dns in der config vorhanden ist für die Weiterleitung

Code: Alles auswählen

[...]
zone "ad.meinefirma.de" {
   type forward;
   forwarders { 192.168.0.200; };
   forward only; #damit der gleich alle Anfragen zu *.ad.meinefirma.de an den samba4 schickt, er selbst kann sie ja eh nie selbst beantworten, da er keine Einträge hierzu hat)
};
[...]

ich dachte eigentlich, dass ich durch meine config richtig delegiert hätte. Ich hab ja den glue record hier verwendet wie zu sehen ist. Oder hab ich nun was Wichtiges vergessen? Bitte um Korrektur falls notwendig

[Natureshadow]

Der NS-Record für ad ist ja schon da. Wofür das forwarding?

[pangu]

Ohne gehts nicht, habs grad versucht. Sobald ich den forward-Eintrag für die Zone ad.meinefirma.de kommentiere, kann der client nichts mit *.ad.meinefirma.de auflösen. Sobald ich reinnehme, funktionierts. Wo könnte der Haken also liegen deiner Meinung nach? muss der forward-Eintrag nicht drinstehen?

[Natureshadow]

Du musst die ganze Zone auskommentieren, natürlich.

[pangu]

Mein ich doch, ich hab den ganzen Block zu ad.meinefirma.de auskommentiert gehabt

[pangu]

Der NS-Record für ad ist ja schon da. Wofür das forwarding?

du meinst, das forwarding ist gar nicht nötig? woher soll denn sonst der BIND wissen, dass ihr diese Anfragen weiterleiten soll? Mit dem NS Eintrag (Glue Record) allein ist es schon getan deiner Meinung nach? klär uns auf

[Natureshadow]

Ja, natürlich. Das ist der Sinn des NS-Records. Der Resolver muss dann so lange nach NS-Records suchen, bis es keinen mehr gibt und dann die Anfrage stellen.

Wer löst denn DNS in deinem Netz letztendlich auf?

[pangu]

also ohne forward krieg ich es nicht gebacken, warum auch immer. Meine Config habe ich ja bereits gepostet, ich seh den Wurm nicht DNS in meinem Netz/Zone *.meinefirma.de sind ja der masterbind9 und der slavebind9. Ich hab auch trailing dots versucht, also in der Zonendatei

statt "ad" --> ad.meinefirma.de. verwendet. Dasselbe dann auch für den entsprechenden A-record. Hat auch nix gebracht. Obwohl ja der Syntax soweit steht, ich hab ganz am Anfang den Klammeraffen @ stehen, und mein Zone heisst meinefirma.de laut config. Ich denke also nicht, dass hier der Wurm begraben liegt.

Any clues wie ich das debuggen/fixen könnte?

[Natureshadow]

Beantworte meine Frage, dann sehen wir weiter.

-nik

[pangu]

Ich dachte ich hatte das, oder ich hab deine Frage nicht ganz verstanden. Was genau meinst du also mit "wer löst DNS in meinem Netz auf" ? Anfragen stellen die diversen Clients, und zwar an meinen primären DNS-Server. Der DNS-Server beantwortet diese und schickt sie zurück an den anfragenden Client. Wenn er sie selbst nicht beantworten kann, dann schick er über einen Forwarder

Code: Alles auswählen

[...]
forwarders {
192.168.0.6; <== mein internetgateway
};
forward only;

ob es daran liegt, dass ich hier auch forward only verwende??

[Natureshadow]

Jetzt hast du meine Frage beantwortet .

Ich baue mir gleich im Bus mal eine Testumgebung.

[pangu]

im Bus ... mmhh.... wird dir dabei nicht schlecht ich steig aufs Motorrad, fahr ne Runde und warte auf dein feedback

danke dir schonmal.

EDIT: Ich hab's! Es liegt tatsächlich an dem forwarder auf die 192.168.0.6 ! Sobald ich den kommentiere, klappen die Anfragen auf ad.meinefirma.de

[Natureshadow]

Hast du nicht vorhin mehrfach behauptet, das hättest du schon erfolglos versucht?

[pangu]

Ich hab den forwarder für die Zone ad.meinefirma.de auskommentiert gehabt, nicht den allgemeinen der an meinen internet-gateway geht. Nochmal zur Verdeutlichung, hier Einsicht in die config. Momentan hab ich nur die allgemeine Weiterleitung zum internetgateway ausgeschaltet.

meine names.conf.local, hier habe ich die Weiterleitung ausgeschaltet, weil du mir ja erklärt hast dass das nicht notwendig sei. Der NS-Eintrag / Delegierung reicht da vollkommen aus.

Code: Alles auswählen

[...]
#zone "ad.meinefirma.de" {
#   type forward;
#   forwarders { 192.168.0.200; };
#   forward only; #damit der gleich alle Anfragen zu *.ad.meinefirma.de an den samba4 schickt, er selbst kann sie ja eh nie selbst beantworten, da er keine Einträge hierzu hat)
#};
[...]

Und jetzt habe ich in meiner named.conf.options den forwarder ausgeschaltet, der normalerweise zum Internetgateway zeigt. Klar, somit könnten jetzt meine Clients nix mehr ausserhalb meines Netzes auflösen, da ich den ja aus habe.

hier meine named.conf.options:

Code: Alles auswählen

options {
directory "/var/cache/bind";
auth-nxdomain no;    # conform to RFC1035
allow-transfer { 192.168.0.2; };
notify yes;
query-source address * ;
listen-on-v6 { none; };
version "Get off scriptkiddie!";
allow-query {
127.0.0.1;
192.168.0.0/24;
10.58.20.0/24;
};
recursion yes;

allow-recursion {
127.0.0.1;
192.168.0.0/24;
10.58.20.0/24;
};

#        forwarders {
#        192.168.0.6;
#        };
#       forward only;
};

^^^^^^^^ diesen forward hab ich jetzt ausgeschaltet und es funktioniert. Bloss jetzt hab ich halt das Problem, dass so nix mehr raus ins Internet gelangt. Hmmm

EDIT: Jetzt geht's ! Hab grad rausgefunden, dass ich nicht den ganzen forward-Block auf 192.168.0.6 entfernen muss, sondern nur die Zeile "forward only" daraus. Dann klappts auch. Das war also der Übeltäter. Trotzdem wundert mich dieses Verhalten, denn normalerweise sollte es doch gar nicht so weit kommen, dass dieser forwarders-Block aus meiner named.conf.options greift?? Wenn der Client eine Anfrage an irgendwas.ad.meinefirma.de stellt, so müsste doch anhand der Zonendatei der entsprechende NS (=delegation) kontaktiert werden. Stattdessen hat aber auch der forward an 192.168.0.6 gegriffen. Wieso? Laut einer Anleitung heißt es:

forward ( first | only );
wenn ein forwarder benutzt wird, dann werden bei forward only Anfragen grundsätzlich weitergeleitet wenn der Server die Antwort nicht weiß, bei first, wird erst der forwarder befragt und wenn der die Antwort nicht weiß eine iterative Anfrage gestartet

wo ist dokumentiert, wie sich das verhält, wenn ich wie in meinem Beispiel, einen forward für eine bestimmte Zone verwende, und auch einen allgemeinen in dem options-Block ?

[pangu]

Ich versteh das echt nicht. Hab grad noch diese Erklärung zu forward only gefunden, die ja eigentlich genau das widergibt wie ich es eigentlich auch dachte verstanden zu haben.

Wieso forwarded mein BIND9 an den globalen forwarder, den ich in dem Options-clause stehen habe obwohl doch ad.meinefirma.de Teil meiner Zone ist und auch der Nameserver dazu bekannt ist?

Das was ich vermute ist folgendes: Mein BIND9 server hat zwar die Zone ad.meinefirma.de delegiert, diese Zone ist wohl aber NOT-AUTHORITATIVE. Dann sieht BIND9 diese Zone also nicht als seine eigene Zone, und kennt sie auch nicht in seinem Cache, deshalb wird sie wie eine "fremde" Zone betrachtet. Aus dem Grund greift dann der forwarder und je nachdem ob ich forward only oder forward first (=default) verwende schlägt das fehl oder klappt. Was meint ihr, kann das der Grund sein warum BIND so handelt?

Dann wiederum stellt sich mir die Frage, wie ich dem Bind beibringe, dass auch ad.meinefirma.de quasi zu ihm gehört und eine subzone von meinefirma.de ist. Auch wenn sie von einem anderen nameserver beantwortet wird, sie soll als authoritative angesehen werden.

Was meint ihr?

[Natureshadow]

Weil da forward only steht.

[pangu]

Ja schon lieber natureshadow, aber forward only bedeutet ja, dass er sofort forwarded und nicht auf fallback geht und die queries selbst beantwortet. Das forwarden sollte aber nur dann eintreffen, wenn der bind da ergebnis nicht aus seiner datenbank, der kaskade oder dem cache kennt.

[dufty]

Das ist eine gute Frage ( "In welcher Reihenfolge werden queries bearbeitet?" ), da hält sich die BIND-doku ziemlich bedeckt.
Denke, es ist "Cache - Forwarders - Recursion".
Kannst ja es aus-knobeln, in dem Du

Code: Alles auswählen

# /usr/sbin/named -g -d 9

startest und die einzelnen Testfälle durchspielst + Wireshark.

Normalerweise "schlägt" die "Zone" die global "Options" für Einstellungen, weil "andersrum" es wenig Sinn macht
Daher hät' ich, wie Du auch am Anfang, die Subdomain ein eigene Zone-Eintrag spendiert, vgl. auch
https://kb.isc.org/article/AA-00538/47/ ... mains.html

Warum dürfen Deine Clients über den sambadns updaten? Dann hast Du ddns-update erlaubt?

[pangu]

Hi dufty,

also mittlerweile habe ich meinen BIND-servern den direkten Zugriff aufs Internet erlaubt, und sämtliche forwarders entfernt aus meiner config. So eigentlich wie es sich "sauber" gehört, damit sie selbst auflösen vom Internet (cascading+cache). Warum aber in dem geschilderten Fall Forwarders vor Recursion steht, verstehe ich ehrlich gesagt nicht, daher auch meine vorherige Frage. Bei "forward only" scheint es sich wohl aber wirklich so zu verhalten, dass diese Abfrage vor der recursion steht. Dass mit der Zone wie ich ganz Anfang hatte, fällt ja jetzt weg, weil ich wie gesagt auf forwarders gänzlich verzichten möchte und es auch die "saubere" Lösung ist.

Ich verstehe jedoch nicht, warum die clients den samba-DNS updaten? Normalerweise ist ja mein DHCP+BIND9 so konfiguriert, daß der DHCP-Server den Client in BIND9 per DDNS einträgt, nachdem er ihnen eine Lease gegeben hat.

Dazu verwende ich auch eine eigene Zone für DHCP-Clients, hier meine named.conf.local:

Code: Alles auswählen

[...]
zone "dhcp.meinefirma.de" {
        type master;
        file "/var/cache/bind/forwardzone.dhcp";
        allow-update { key "mein-key"; };
};

zone "0.168.192.in-addr.arpa" {
        type master;
        file "/var/cache/bind/reversezone.dhcp";
        allow-update { key "mein-key"; };
};

und hier meine dhcpd_ddns.conf die Teil meines DHCP-Clusters ist:

Code: Alles auswählen

        ddns-update-style interim;
        ddns-updates on;
        ignore client-updates;

        ddns-domainname                 "dhcp.meinefirma.de";

        zone dhcp.meinefirma.de. {
          primary 127.0.0.1;
          key "mein-key";
        }

        zone 0.168.192.in-addr.arpa. {
          primary 127.0.0.1;
          key "mein-key";
        }

Wie du siehst habe ich ja "ignore clients-updates" drinstehen, das wundert mich also ein wenig. Nun lese ich aber soeben im manual der dhcpd.conf folgenden Absatz:

Further, if the ignore client-updates; directive is used, then the server will in addition send a response in the DHCP packet, using the FQDN Option,
that implies to the client that it should perform its own updates if it chooses to do so. With deny client-updates;, a response is sent which indicates
the client may not perform updates.

versteh ich nicht wirklich?! sollte ich also stattdessen lieber deny client-updates verwenden? Und selbst wenn es dazu kommen sollte, dass ein DDNS-Eintrag für den Client xyz durchgeführt wird, stellt sich für mich immer noch die Frage --> Wie und wieso zum Henker kam diese Anforderung an den Samba4-DNS rüber? Ich hab doch gar kein Forwarder mehr drinstehen. Wird das also durch meinen delegierten NS weitergereicht, weil der Client eben Teil dieser delegierten Subzone ist? EDIT: Jup, habs grad getestet --> alle Anfragen eines Clients aus ad.meinefirma.de werden vollständig an die delegierte Subzone ad.meinefirma.de weitegeleitet, und dafür ist eben der samba4-DNS zuständig. Haut also hin :p

EDIT:Und soeben auch das mit dem Eintrag "ignore/deny client-updates" ausprobiert. Wie es aussieht lags wirklich an dem "ignore client-updates". Wenn ich "deny client-updates" verwende, tragen sich die Clients nicht mehr am samba4-dns ein, sondern nur in die Zone dhcp.meinefirma.de. Beispiel: Der Client mit dem Hostname "bert" ist Mitglied meiner samba4-Domäne ad.meinefirma.de. Sein FQDN heißt also bert.ad.meinefirma.de. Nachdem er nun vom ISC3 DHCP-server eine lease erhält, wird er auf meinem bisherigen BIND9 server in die Zone dhcp.meinefirma.de eingetragen. Somit lautet sein DDNS-Eintrag bert.dhcp.meinefirma.de. Super! Jetzt hab ich mein Ziel erreicht, der Samba4-DNS Server bleibt bis auf seinen eigenen Host-eintrag leer.