Hallo,

ich bin gerade dabei, einen Domaincontroller zu basteln. Samba als PDC funktioniert.
Jetzt will ich noch auf den PDC bind9 einrichten.

Ich habe in der named.conf folgendes eingetragen:

zone "wr.local" in {
type master;
file "wr.local";
}

zone "10.10.10.in-addr.arpa" in {
type master;
file "10.10.10.zone";
}

Ich habe gedacht, das der Rechner die Files selbst anlegt. Da er es nicht getan hat, habe ich diese selbst angelegt.

Bei einem nslookup auf den localhost funktioniert alles und auch rückwärts also
nslookup 127.0.0.1.

Aber bei meiner anglegten Zone funktioniert es nicht.

Da ich ich noch in Sachen zoemlich neu bin bräuchte ich dringend Hilfe.

Danke

Original geschrieben von ThoKre
Bei einem nslookup auf den localhost funktioniert alles und auch rückwärts also
nslookup 127.0.0.1.Da der Localhost meist auch in /etc/hosts definiert wird, funktioniert diese Aufloesung dann sogar ganz ohne Bind;-)

Was ist der Inhalt von "wr.local" bzw. "10.10.10.zone"? Wird BIND ueberhaupt geladen (bitte entsprechenden Ausschnitt aus /var/log/messages posten)?

Gruss Pit.

jo poste mal die Zonendateien

WR.zone

$TTL 2D

$Generate 20-127 client-$ A 10.10.10.$
@ IN SOA pdc.wr.local admin.wr.local.(
20000331203 ;serial
3H ;refresh
15M ;retry
1W ;expiry
1D) ;minimum

IN NS pdc
IN MX pdc

pdc IN A 10.10.10.1
client-1 IN A 10.10.10.100
-----------------------------------------------------------------------------
10.10.10.zone

$TTL 2D

$Generate 20-127 $PTR client-$.wr.local.
@ IN SOA pdc.wr.local. admin.wr.local.(
20000331203 ;serial
3H ;refresh
15M ;retry
1W ;expiry
1D ) ;minimum

IN NS pdc.wr.local.

1 IN PTR pdc.wr.local.
100 IN PTR client-1.wr.local.
-------------------------------------------------------------------------------
/var/log/messages

dns-rdata-fromtext: 10.10.10.zone:5 near 3H: out of range
dns-zone-load: zone 10.10.10.in-addr.arpa/IN: loading master file
10.10.10.zone: out of range

Das selbe bei der master file WR.zone.

spiel dir mal webmin (http://www.webmin.com) drauf und lege dir die masterzonen damit an. das geht besser und du kannst dir danach mal anschauen, was dort gemacht wird. du musst nur darauf achten, dass der webmin eine verbindung zwischen den masterzonen sieht. das kannst du daran erkennen, wenn du eine forward-adresse eingibst, dass auch die reverse-adresse eingetragen wird.

Danke Thomas Mitzkat, habe webmin installiert und die Zonen darüber eingerichtet.
Funktioniert super.
Bei W2K ist es so, das die Clients automatisch in die DNS Datei geschrieben werden.

Ist dies bei Linux mit Allow Update (....) realisierbar, oder hat das eine andere Aufgabe?

Mein nächstes Problem ist:

Wir haben 3 weitere Filialen, die jede ihren eigenen PDC mit DNS haben. Diese sind über eine Vertrauensstellung verbunden. Da ich jetzt den PDC der Hauptfiliale auf Linux umrüsten möchte, ist nun meine Frage, ob das so einfach geht. Wir haben ein VPN von der DTAG.

Kann ich das unter bind9 mit der Slave Zone einrichten, oder können es auch Master Zonen sein?

automatisches update des bind kannst du über den dhcpd realisieren: ein klient bezieht eine ip und bekommt passend zur ip den namen in bind eingetragen.


Kann ich das unter bind9 mit der Slave Zone einrichten, oder können es auch Master Zonen sein?
das kommt wohl auf die ip-vergabe drauf an. wenn es separate netzwerke sind, sollten es wohl auch masterzonen sein.

Also die IP-Bereiche sind:

10.10.10.0 - Filiale1
10.10.11.0 - Filiale 2
10.10.12.0 - Filiale 3
10.10.13.0 - Filiale 4

Ich denke, ich sollte das alles mit Masterzonen machen.

Danke erstmal. Ich werd es ausprobieren.

Original geschrieben von ThoKre
WR.zone

$TTL 2D

$Generate 20-127 client-$ A 10.10.10.$
@ IN SOA pdc.wr.local admin.wr.local.(
20000331203 ;serial
3H ;refresh
15M ;retry
1W ;expiry
1D) ;minimum

IN NS pdc
IN MX pdc

pdc IN A 10.10.10.1
client-1 IN A 10.10.10.100
-----------------------------------------------------------------------------
10.10.10.zone

$TTL 2D

$Generate 20-127 $PTR client-$.wr.local.
@ IN SOA pdc.wr.local. admin.wr.local.(
20000331203 ;serial
3H ;refresh
15M ;retry
1W ;expiry
1D ) ;minimum

IN NS pdc.wr.local.

1 IN PTR pdc.wr.local.
100 IN PTR client-1.wr.local.
-------------------------------------------------------------------------------
/var/log/messages

dns-rdata-fromtext: 10.10.10.zone:5 near 3H: out of range
dns-zone-load: zone 10.10.10.in-addr.arpa/IN: loading master file
10.10.10.zone: out of range

Das selbe bei der master file WR.zone.

Die Seriennummern Deiner SOA-Records sind(waren - ich nehme an, Webmin hat das korrigiert) zu lang. Die Seriennummer eines SOA Records hat 32 Bit, kann also nur zwischen 0 bis 4.294.967.296 sein. Deine ist aber 20.000.331.203. Die Seriennummer solte übrigens - so ist die allgemeine Konvention - am aktuellen Datum ausgerichtet sein. Würde man also heute einen Eintrag in das Zonenfile machen, so würde man die Seriennummer so machen: 2003091301 (also: YYYYMMTTxx wobei xx mit 01 beginnen sollte, und wenn man am Tag mehrere änderungen macht halt immer eins höher gesetzt werden sollte)

Original geschrieben von ThoKre
Also die IP-Bereiche sind:

10.10.10.0 - Filiale1
10.10.11.0 - Filiale 2
10.10.12.0 - Filiale 3
10.10.13.0 - Filiale 4


Es ist jetzt nicht so wichtig, aber warum nimmst Du ein class-a Netz, wenn Du es hinternher in class-c Netze verwandelst? Ich gehe doch recht in der Annahme, dass zwischen den Filialen gerouetet wird und nicht einfach ein switch/bridge/hub dazwischen hängt?

Zu win2k und DNS updates:
windows verwendet eine eigene Erweiterung um die IP auf sichere weise im Nameserver einzutragen. Ich habe zuletzt vor einem halben Jahr geschaut und da hieß es, daß die nötigen Informationen seitens MS jetzt vorlägen, dass das aber noch nicht implementiert sei.
Die updates über dhcp sind reichlich unsicher. Ich kann damit mit einer gefälschten MAC den Nameserver ganz schön ins schleudern bringen soweit ich weiß.

mamue

edit:
Habe gerade noch mal ein wenig gegoogelt:
MS kennt GSS-TSIG und das kennt nur MS, auch wenn einem die Abkürzungen vertraut klingen.
Offizieller Standard ist DNSSEC, das kennt MS nun wieder gar nicht.
Mal schauen, wie weit ISC bind jetzt ist, es scheint aber auch schon die ersten Sicherheitslücken in MS' GSS-TSIG gegeben zu haben....
http://www.isc.org/ml-archives/bind-users/2000/03/msg00009.html

Hallo mamue,

Ja es wird geroutet. In jeder Filiale steht ein Cisco 1710 und in der Filiale 1 noch ein Cisco 2610 die das Routing übernehmen. Ich weiß zwar nicht wie du darauf kommst, dass das Klasse-A Netz in ein Klasse-C Netz umgewandelt wird, aber das ist auch egal.

Fakt ist eins. Ich muss am 29.09 ein wieder funktionierendes VPN haben, damit die Filialen arbeiten können. Deswegen stellt sich mir die Frage, ob ich erstmal versuche, die PDC´s in den Filialen zu lassen, oder ob ich sie herunterstufe und alles über den PDC in der Hauptniederlassung kontrolliere.

Kennt jemand ein gutes Backup-Programm für Linux?

Ich kenne das Beispiel für FreeSWAN, dass ein Klasse-A Netz mit einer 255.255.255.0 Netmask oder so verwendet, also Klasse-C. Ich fand das mehr als nur verwirrend. Ich hatte an der Stelle das Beispiel verlassen und habe das anders gemacht.
Ich beneide Dich um diese Aufgabe nicht.
Backup unter Linux:
Ich kenne nur tar (sichert auch sockets et al mit den ricthigen Optionen), dd (von boot-cd aus gestartet) und amanda (schon mal davon gelesen und ein ganz klein wenig damit herumgespielt)

Ich würd dafür noch mal einen extra thread aufmachen.

mamue