Forwardzone auf BIND9 einrichten

[pangu]

Hi Leute,

ich habe bereits zwei DNS-Server auf BIND9 v9.7.x laufen (NS1 + NS2), die unter anderem für die Zone mycompany.de verantwortlich sind. Nun möchte ich gerne eine Subzone einrichten, so dass alle Anfragen, die ad.mycompany.de beinhalten, zu einem anderen DNS-Server (=SAMMY mit IP 192.168.0.250) weitergeleitet werden. Auf dem Host "sammy" läuft Samba4 mit seinem eigenen DNS-Server fürs ActiveDirectory. Meine Clients kontaktieren immer NS1 (bzw. NS2 falls NS1 ausfällt) und alle ActiveDirectory-relevanten Anfragen sollen also zu Sammy weitergereicht werden. Ich habe auf Sammy einen Test Eintrag erstellt Host A mit den Daten "testing" und der IP 192.168.0.123. Wenn ich mit "nslookup - sammy" auf sammy nun abfrage, dann erhalte ich eine gültige Antwort meines Test Host A Eintrages, den ich dort errichtet habe. Die Auflösung funktioniert, also sammy liefert die richtige Antwort. Um meine bestehende NS1 und NS2 beizubringen, sämtliche AD-relevanten Sachen weiterzuleiten, habe ich auf NS1 und NS2 in der Konfiguration folgende Zeilen verwendet:

Code: Alles auswählen

[...]
zone "ad.mycompany.de" {
   type forward;
   forwarders { 192.168.0.250; };
];
[...]

diesen Abschnitt habe ich sogar sicherheitshalber über meine bestehende zone "mycompany.de" angefügt, weil ich dachte, dass die Reihenfolge auch wichtig wäre. Aber das half nichts. Wenn ich "nslookup - ns1" verwende, und dann eingebe "testing.ad.mycompany.de" dann krieg ich als Fehler NXDOMAIN, aber keine gültige IP zurück. Der NS1 scheint irgendwie nicht wirklich weiterzuleiten. Was mache ich denn falsch oder wo ist mein Denkfehler? Anmerken möchte ich, dass ich auf dem ns1 in der named.conf.options noch diesen Block verwende, damit alle DNS-Anfragen auch ins INternet gelangen können (IP=192.168.0.150 ist meine IPCop die ins Internet darf):

Code: Alles auswählen

[...]
   forwarders {
        192.168.0.150;
        };
        forward only;
[...]

Aber selbst wenn ich diese Zeilen auskommentiere und den bind9 restarte, funktionierte es nicht. Wer kann hier weiterhelfen?

[pangu]

Ich versteh nicht, warum mein BIND9 nicht forwarden tut. Ich krieg immer als Fehlermeldung "...can't find testhost: NXDOMAIN" Aber der Sammy DNS-Server läuft definitiv. Wenn ich direkt auf ihn auflöse, krieg ich die passende Antwort... any ideas?

EDIT: Kann es sein, dass ich in meiner bestehenden forward zone der mycompany.de erstmal den anderen nameserver (=sammy) reinschreiben muss?

Meine forwardzone für mycompany.de sieht so aus.

/var/cache/bind/forwardzone.mycompany.de:

Code: Alles auswählen

$ORIGIN .
$TTL 604800     ; 1 week
mycompany.de       IN SOA  ns1.mycompany.de. admin.mycompany.de. (
                                2013011801 ; serial
                                28800      ; refresh (8 hours)
                                7200       ; retry (2 hours)
                                2419200    ; expire (4 weeks)
                                39600      ; minimum (11 hours)
                                )
                        NS      ns1.mycompany.de.
                        NS      ns2.mycompany.de.
###############jetzt füge ich folgende Zeile noch ein######################
ad.mycompany.de    NS      ns3.mycompany.de.
###################################################################
$ORIGIN mycompany.de.
ns1                     A    192.168.0.80
ns2                     A   192.168.0.90
ns3                     A   192.168.0.150

so funktioniert es nun. Aber ist das überhaupt der richtige Weg oder nur verschlimmbessert? Ich krieg von nslookup zwar die Antwort, jedoch die Nachricht "Nicht authorisierte Antwort". Wieso ist ns3 nicht autoristiert? Was fehlt da?

[dufty]

forwarding und delegation sind zwei paar Stiefel.
"forwarding" ist ein Art "default-gateway": Schau Du - forwarder - mal nach, ob Du mehr rausbekommst über diesen DNS-record.

Was Du aber möchtest, ist delegation:
Dein DNS-Server "vererbt" die Sub-Domain "ad.mycompany.de" an sammy, welcher dann authoritativ für die
sub-domain ist (bzw. sein sollte).

[pangu]

soweit so gut, ich kann dir folgen. Und wie delegiere ich also sammy, so dass sammy für ad.mycompany.com verantwortlich ist und ich bei nslookup keine Meldung "Not authoritative" erhalte?

[dufty]

Verstehe ich Dich richtig und bei

Code: Alles auswählen

$ nslookup testing.ad.mycompany.de NS1

$ nslookup testing.ad.mycompany.de sammy

kommt beidesmal
Non-authoritative answer:
<snip>
?

[pangu]

Nein, nur bei nslookup testing.ad.mycompany.de bringt er Not authoritative. Er löst zwar auf, spuckt jedoch diese Meldung aus. Als ob er also den sammy nicht als "authorisiert" einstuft

[dufty]

Ach so, na dann ist alles in Ordnung:
Die Ausgabe "non-authoritative" bezieht sich auf den jeweils abgefragten DNS-Server,
und da NS1 die subdomain "ad.mycompany.de" an sammy delegiert hat,
antwortet er nur noch als "forwarder" und nicht mehr authoritative für die diese subdomain.
Für die domain selbst ist er nachwievor authoritative, kannst ja mal ein
$ nslookup -q=NS ad.mycompany.de NS1
machen.

Ich dachte, sammy würde non-authoritative (auf testing.ad.mycompany.de) antworten,
das wäre dann ein echter Fehler gewesen.

[pangu]

Dufty, ich würde dich gerne dazu ncoh folgendes fragen.

Normalerweise registrieren sich meine DHCP-Clients an NS1 in der Zone dhcp.mycompany.de die ich extra für dynamische Updates errichtet habe. Dieses Update wird gleich danach ausgeführt, wenn der Client vom ISC DHCP-Server seine Lease erhält. Nun ist mir aufgefallen, dass sich Windows-Clients, die ihre AD-Domäne suchen oder sich dort anmelden, automatisch auch in dem DNS-Server des AD-Domänencontrollers registrieren. Wird also durch den "forwarder"-Eintrag komplett ALLES durchgeschleift an den sammy, also auch Registrierungsversuche der Clients? Wenn ja, kann man das denn irgendwie unterbinden durch eine bestimmte Klausel in der BIND9 config? Ich möchte nicht, dass sich die Windows-Clients auch bei sammy registrieren. Kann ich das schon auf NS1-Höhe erledigen, oder muss ich dafür den DNS-Server des Sammy umbiegen und dort verbieten? Auf Sammy läuft jedoch kein BIND9 sondern der interne DNS-Serverdienst des samba4 server. Keine Ahnung ob das geht oder nicht, müßte ich mich schlau machen.