Тема: linux gateway (+ dncp + bind9) with samba share + windows dc

Так як маю справу з windows рідко, з'явилося питання трохи дурнувате..

Є сервак з linux на якому є три віртуальних машини з windows 2012r2: dc, rdp, для софтини.
Є комп'ютер з linux на якому samba (сховище файлів) і яке хо зробити ще і шлюзом (там дві мережевих і мало навантажений).

Тепер про збочення, зазвичай файловий сервер окремо від шлюзу та вірт.машин робиться, але цього разу він на тій самій машині що і шлюз. Тож постає питання, чи будуть проблеми із введенням в домен файлового сховища?
На шлюзі налаштувати лиш dhcp та як dns вказати вірт.сервер контролера домену? Чи підняти bind9 на шлюзі? Але якщо bind9, то як його налаштувати і контролер домену? Просто вказати під зони _msdcs, _tcp, _udp, _sites, DomainDnsZones, ForestDnsZones які посилатимуться на контролер домену, а контролер домену налаштовувати як?

Не знаю чому, але чомусь не можу зосередитися, і купа сумнівів навіть у дрібницях..


Може маршрути прописати? Щоб все йшло на шлюз, і лише одне правило для доступу до файлової шари? Або Я до кінця не зрозумів, що Ви хочете зробити.


Для чого Вам на шлюзі додатковий DNS? Якщо вам потрібно ввести самбу в домен, то для неї DNS-server  це є той сервак, який тримає зону для домена. А для того, щобб Ваш шлюз ресолвив нормально адреси з всемережжя, то вам потрібно або використовувати DNS прова або налаштувати кешуючий DNS


Для чого Вам на шлюзі додатковий DNS? Якщо вам потрібно ввести самбу в домен, то для неї DNS-server  це є той сервак, який тримає зону для домена. А для того, щобб Ваш шлюз ресолвив нормально адреси з всемережжя, то вам потрібно або використовувати DNS прова або налаштувати кешуючий DNS

1. Є у планах внутрішні веб-сервіси..
2. DNS нашого провайдера буває гальмує по півдня..
3. Бажано, щоб міжмережжя було доступно хоча би не введеним компам в домен коли контролер домену оффлайн..


1. Ну для внутрішніх веб-сервісів, для того щоб отримувати до них доступ по іменах потрібно підняти окрему зону і прописати дані сервіси в ній. Якщо це буде на окремому ДНС то компи з АD не будуть їх бачити. ТОму Вам все одно прийдеться після підняття окремої зони налаштувати її трансфер на сервак ДНС AD.
2 і 3 можете скористатися цим

1. Ну для внутрішніх веб-сервісів, для того щоб отримувати до них доступ по іменах потрібно підняти окрему зону і прописати дані сервіси в ній. Якщо це буде на окремому ДНС то компи з АD не будуть їх бачити. ТОму Вам все одно прийдеться після підняття окремої зони налаштувати її трансфер на сервак ДНС AD.
2 і 3 можете скористатися цим
2 і 3 можете скористатися цим

Сьогодні пробував, не вийшло.. bind9 не захотів підійматися.. як посібник юзав це.. крім того на centos глючив firewalld, після перезавантаження доводилося заново інтерфейси між зонами перекидувати.. бля.. і це кажуть fedora глючить.. я би так не сказав.. бо на ній не пригадую щоб всі інтерфейси в дефолтну зону після ребута стрибали..

P.S. Про --permanent не забув.. то він своє призначення ігнорував..


А чому саме Бінд не піднявся.??? І що ви саме хтіли налаштувати на його основі.


А чому саме Бінд не піднявся.??? І що ви саме хтіли налаштувати на його основі.

завтра покажу.. але таке враження що образився що сервак контролеру домену не знайшов.. бо того що встиг помітити було щось про bad zone.. error не знайшов.. чи подібного.. а інші скарги не було часу дивитися..


А чому саме Бінд не піднявся.??? І що ви саме хтіли налаштувати на його основі.

завтра покажу.. але таке враження що образився що сервак контролеру домену не знайшов.. бо того що встиг помітити було щось про bad zone.. error не знайшов.. чи подібного.. а інші скарги не було часу дивитися..

Те що образився зрозуміло. А що саме на bind9 хотіли настроїти, що конкретно.?

Те що образився зрозуміло. А що саме на bind9 хотіли настроїти, що конкретно.?

Додати зони необхідні для контролера домену.. ну як в статті що давав раніше..

тупо всі останні строки логу зі згадкою named, лог одного сервака, то ім'я після перезавантаження змінив
Oct 24 17:37:18 server0 named[1504]: received control channel command 'reload'
Oct 24 17:37:18 server0 named[1504]: loading configuration from '/etc/named.conf'
Oct 24 17:37:18 server0 named[1504]: reading built-in trusted keys from file '/etc/named.iscdlv.key'
Oct 24 17:37:18 server0 named[1504]: using default UDP/IPv4 port range: [1024, 65535]
Oct 24 17:37:18 server0 named[1504]: using default UDP/IPv6 port range: [1024, 65535]
Oct 24 17:37:18 server0 named[1504]: listening on IPv4 interface enp4s0,
Oct 24 17:37:18 server0 named[1504]: sizing zone task pool based on 7 zones
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 10.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 16.172.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 17.172.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 18.172.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 19.172.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 20.172.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 21.172.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 22.172.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 23.172.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 24.172.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 25.172.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 26.172.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 27.172.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 28.172.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 29.172.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 30.172.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 31.172.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 168.192.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 64.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 65.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 66.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 67.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 68.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 69.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 70.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 71.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 72.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 73.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 74.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 75.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 76.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 77.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 78.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 79.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 80.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 81.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 82.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 83.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 84.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 85.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 86.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 87.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 88.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 89.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 90.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 91.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 92.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 93.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 94.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 95.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 96.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 97.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 98.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 99.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 100.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 101.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 102.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 103.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 104.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 105.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 106.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 107.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 108.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 109.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 110.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 111.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 112.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 113.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 114.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 115.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 116.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 117.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 118.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 119.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 120.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 121.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 122.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 123.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 124.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 125.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 126.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 127.100.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 127.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 254.169.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 2.0.192.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 100.51.198.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 113.0.203.IN-ADDR.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone:
Oct 24 17:37:18 server0 named[1504]: automatic empty zone:
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: D.F.IP6.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 8.E.F.IP6.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 9.E.F.IP6.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: A.E.F.IP6.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: B.E.F.IP6.ARPA
Oct 24 17:37:18 server0 named[1504]: automatic empty zone: 8.B.D.
Oct 24 17:37:18 server0 named[1504]: reloading configuration succeeded
Oct 24 17:37:18 server0 named[1504]: reloading zones succeeded
Oct 24 17:37:18 server0 named[1504]: all zones loaded
Oct 24 17:37:18 server0 named[1504]: running
Oct 25 05:46:27 server0 named[1504]: error (network unreachable) resolving './DNSKEY/IN': 2001:7fe::53#53
Oct 25 05:46:27 server0 named[1504]: error (network unreachable) resolving './NS/IN': 2001:7fe::53#53
Oct 25 05:46:27 server0 named[1504]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 25 05:46:27 server0 named[1504]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 25 05:46:28 server0 named[1504]: error (network unreachable) resolving './DNSKEY/IN': 2001:500:2d::d#53
Oct 25 05:46:28 server0 named[1504]: error (network unreachable) resolving './NS/IN': 2001:500:2d::d#53
Oct 25 05:46:28 server0 named[1504]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:c27::2:30#53
Oct 25 05:46:28 server0 named[1504]: error (network unreachable) resolving './NS/IN': 2001:503:c27::2:30#53
Oct 25 08:17:22 server0 named[1504]: error (network unreachable) resolving './NS/IN': 2001:7fe::53#53
Oct 25 08:17:22 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan/A/IN': 2001:7fe::53#53
Oct 25 08:17:22 server0 named[1504]: error (network unreachable) resolving './NS/IN': 2001:500:1::803f:235#53
Oct 25 08:17:22 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan/AAAA/IN': 2001:7fe::53#53
Oct 25 08:17:22 server0 named[1504]: error (network unreachable) resolving './NS/IN': 2001:dc3::35#53
Oct 25 08:17:22 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan/A/IN': 2001:500:1::803f:235#53
Oct 25 08:17:22 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan/AAAA/IN': 2001:500:1::803f:235#53
Oct 25 08:17:22 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan/A/IN': 2001:dc3::35#53
Oct 25 08:17:22 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan/AAAA/IN': 2001:dc3::35#53
Oct 25 08:17:24 server0 named[1504]: error (network unreachable) resolving './NS/IN': 2001:500:2f::f#53
Oct 25 08:17:24 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan/A/IN': 2001:500:2f::f#53
Oct 25 08:17:24 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan/AAAA/IN': 2001:500:2f::f#53
Oct 25 11:08:12 server0 named[1504]: error (network unreachable) resolving './NS/IN': 2001:503:c27::2:30#53
Oct 25 11:08:12 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan.local/AAAA/IN': 2001:503:c27::2:30#53
Oct 25 11:08:12 server0 named[1504]: error (network unreachable) resolving './NS/IN': 2001:7fd::1#53
Oct 25 11:08:12 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan.local/A/IN': 2001:503:c27::2:30#53
Oct 25 11:08:12 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan.local/AAAA/IN': 2001:7fd::1#53
Oct 25 11:08:12 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan.local/A/IN': 2001:7fd::1#53
Oct 25 11:08:16 server0 named[1504]:  validating @0x7f7f4820c2f0: . SOA: got insecure response; parent indicates it should be secure
Oct 25 11:08:16 server0 named[1504]: validating @0x7f7f540964e0: . NS: got insecure response; parent indicates it should be secure
Oct 25 11:08:16 server0 named[1504]: error (insecurity proof failed) resolving './NS/IN':
Oct 25 11:08:16 server0 named[1504]:  validating @0x7f7f58158db0: . SOA: got insecure response; parent indicates it should be secure
Oct 25 11:08:16 server0 named[1504]: error (insecurity proof failed) resolving 'gateway.mastermilk.lan.local/A/IN':
Oct 25 11:08:16 server0 named[1504]: error (insecurity proof failed) resolving 'gateway.mastermilk.lan.local/AAAA/IN':
Oct 25 16:33:33 server0 named[1504]: error (network unreachable) resolving './NS/IN': 2001:7fe::53#53
Oct 25 16:33:33 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan/A/IN': 2001:7fe::53#53
Oct 25 16:33:33 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan/AAAA/IN': 2001:7fe::53#53
Oct 25 16:33:34 server0 named[1504]: error (network unreachable) resolving './NS/IN': 2001:500:2d::d#53
Oct 25 16:33:34 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan/A/IN': 2001:500:2d::d#53
Oct 25 16:33:34 server0 named[1504]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 25 16:33:34 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan/A/IN': 2001:503:ba3e::2:30#53
Oct 25 16:33:34 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan/AAAA/IN': 2001:500:2d::d#53
Oct 25 16:33:34 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan/AAAA/IN': 2001:503:ba3e::2:30#53
Oct 25 16:33:35 server0 named[1504]: error (network unreachable) resolving './NS/IN': 2001:dc3::35#53
Oct 25 16:33:35 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan/A/IN': 2001:dc3::35#53
Oct 25 16:33:35 server0 named[1504]: error (network unreachable) resolving 'gateway.mastermilk.lan/AAAA/IN': 2001:dc3::35#53
Oct 25 16:33:36 server0 named[1504]:  validating @0x7f7f50112a70: . SOA: got insecure response; parent indicates it should be secure
Oct 25 16:33:36 server0 named[1504]: validating @0x7f7f540dd2a0: . NS: got insecure response; parent indicates it should be secure
Oct 25 16:33:36 server0 named[1504]: error (insecurity proof failed) resolving './NS/IN':
Oct 25 16:33:36 server0 named[1504]:  validating @0x7f7f540e02d0: . SOA: got insecure response; parent indicates it should be secure
Oct 25 16:33:36 server0 named[1504]: error (insecurity proof failed) resolving 'gateway.mastermilk.lan/AAAA/IN':
Oct 25 16:33:36 server0 named[1504]: error (insecurity proof failed) resolving 'gateway.mastermilk.lan/A/IN':
Oct 25 17:34:13 gateway bash: /etc/named/msdcs.mastermilk.lan:3: ignoring out-of-zone data (_msdcs.mastermilk.local)
Oct 25 17:34:13 gateway systemd: named.service: control process exited, code=exited status=1
Oct 25 17:34:13 gateway systemd: Unit named.service entered failed state.
Oct 25 17:34:13 gateway systemd: named.service failed.
Oct 25 17:34:13 gateway systemd: Unit named.service cannot be reloaded because it is inactive.
Oct 25 17:34:13 gateway systemd: Unit named.service cannot be reloaded because it is inactive.
Oct 25 17:42:52 gateway bash: /etc/named/msdcs.mastermilk.lan:3: ignoring out-of-zone data (_msdcs.mastermilk.local)
Oct 25 17:42:52 gateway systemd: named.service: control process exited, code=exited status=1
Oct 25 17:42:52 gateway systemd: Unit named.service entered failed state.
Oct 25 17:42:52 gateway systemd: named.service failed.
Oct 25 17:59:44 gateway systemd: Unit named.service cannot be reloaded because it is inactive.
Oct 25 17:59:44 gateway bash: /etc/named/msdcs.mastermilk.lan:3: ignoring out-of-zone data (_msdcs.mastermilk.local)
Oct 25 17:59:44 gateway systemd: named.service: control process exited, code=exited status=1
Oct 25 17:59:44 gateway systemd: Unit named.service entered failed state.
Oct 25 17:59:44 gateway systemd: named.service failed.
Oct 25 17:59:44 gateway systemd: Unit named.service cannot be reloaded because it is inactive.
Oct 25 18:15:48 gateway bash: /etc/named/msdcs.mastermilk.lan:3: ignoring out-of-zone data (_msdcs.mastermilk.local)
Oct 25 18:15:48 gateway systemd: named.service: control process exited, code=exited status=1
Oct 25 18:15:48 gateway systemd: Unit named.service entered failed state.
Oct 25 18:15:48 gateway systemd: named.service failed.
Oct 25 18:47:29 gateway systemd: Unit named.service cannot be reloaded because it is inactive.
Oct 25 18:50:52 gateway systemd: Unit named.service cannot be reloaded because it is inactive.
Oct 25 19:08:58 gateway systemd: Unit named.service cannot be reloaded because it is inactive.
Oct 25 19:34:49 gateway systemd: Unit named.service cannot be reloaded because it is inactive.

До того там була налаштована зона .local і піднімалася samba dc, її налаштування прибрав і створив .lan.. але не розумію звідки у лозі .lan.local  :[
Хоча здається не все прибрав.. забув строку tkey-gssapi-keytab "/var/lib/samba/private/dns.keytab"; викинути з конфіга.. мабуть то її рук справа .lan.local.  :[  як вважаєте то її вина? ну не міг же bind не стартанути через те що сервер контролеру домену не працює? по ідеї він не має впливати на запуск bind?

options {
    listen-on port 53 {; any; };
    listen-on-v6 port 53 { ::1; };
    directory     "/var/named";
    dump-file     "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
    allow-query     { any; };
    forwarders {;; };
    tkey-gssapi-keytab "/var/lib/samba/private/dns.keytab";

     - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
     - If you are building a RECURSIVE (caching) DNS server, you need to enable 
     - If your recursive DNS server has a public IP address, you MUST enable access 
       control to limit queries to your legitimate users. Failing to do so will
       cause your server to become part of large scale DNS amplification 
       attacks. Implementing BCP38 within your network would greatly
       reduce such attack surface 
    recursion yes;

    dnssec-enable yes;
    dnssec-validation yes;

    /* Path to ISC DLV key */
    bindkeys-file "/etc/named.iscdlv.key";

    managed-keys-directory "/var/named/dynamic";

    pid-file "/run/named/named.pid";
    session-keyfile "/run/named/session.key";

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;

zone "." IN {
    type hint;
    file "named.ca";

acl dhcp {;

acl AD-Server {;

controls {
        inet port 953 allow {dhcp;} keys {mastermilk;};

zone "mastermilk.lan." {
        type master;
        file "/etc/named/mastermilk.zone";
        allow-update {key mastermilk; AD-Server;};
        notify yes;

zone "0.0.10.in-addr.arpa." {
        type master;
        file "/etc/named/10.0.0.zone";
        allow-update {key mastermilk; AD-Server;};
        notify yes;

zone "_msdcs.mastermilk.lan" {
        type master;
        allow-update {AD-Server;};
        check-names ignore;
        file "/etc/named/msdcs.mastermilk.lan";

zone "_sites.mastermilk.lan" {
        type master;
        allow-update {AD-Server;};
        check-names ignore;
        file "/etc/named/sites.mastermilk.lan";

zone "_tcp.mastermilk.lan" {
        type master;
        allow-update {AD-Server;};
        check-names ignore;
        file "/etc/named/tcp.mastermilk.lan";

zone "_udp.mastermilk.lan" {
        type master;
        allow-update {AD-Server;};
        check-names ignore;
        file "/etc/named/udp.mastermilk.lan";

zone "DomainDnsZones.mastermilk.lan" {
        type master;
        allow-update {AD-Server;};
        check-names ignore;
        file "/etc/named/DomainDnsZones.mastermilk.lan";

zone "ForestDnsZones.mastermilk.lan" {
        type master;
        allow-update {AD-Server;};
        check-names ignore;
        file "/etc/named/ForestDnsZones.mastermilk.lan";

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
include "/etc/rndc.key";
файли з теки named


$TTL 86400
0.0.10.in-addr.arpa.  IN SOA gateway.mastermilk.lan. root.mastermilk.lan. (
     2010100510 ;serial
     8H ;refresh
     4H ;retry
     5W ;expire
     1D ;minimum
     NS gateway.mastermilk.lan.
101 PTR gateway.mastermilk.lan.


$TTL 86400      ; 1 day
DomainDnsZones.mastermilk.lan    IN SOA  gateway.mastermilk.lan. root.mastermilk.lan. (
                                200110220  ; serial
                                28800      ; refresh (8 hours)
                                7200       ; retry (2 hours)
                                2419200    ; expire (4 weeks)
                                86400      ; minimum (1 day)
                        NS      gateway.mastermilk.lan.
$ORIGIN DomainDnsZones.mastermilk.lan.


$TTL 86400      ; 1 day
ForestDnsZones.mastermilk.lan    IN SOA  gateway.mastermilk.lan. root.mastermilk.lan. (
                                200110220  ; serial
                                28800      ; refresh (8 hours)
                                7200       ; retry (2 hours)
                                2419200    ; expire (4 weeks)
                                86400      ; minimum (1 day)
                        NS      gateway.mastermilk.lan.
$ORIGIN ForestDnsZones.mastermilk.lan.


$TTL 86400
mastermilk.lan. IN SOA gateway.mastermilk.lan. root.mastermilk.lan. (
     2011120801 ;serial
     1D ;refresh
     6H ;retry
     5W ;expire
     1H ;minimum
     NS gateway.mastermilk.lan.
ns A


$TTL 86400      ; 1 day
_msdcs.mastermilk.local       IN SOA  gateway.mastermilk.lan. root.mastermilk.lan. (
                                200110230  ; serial
                                28800      ; refresh (8 hours)
                                7200       ; retry (2 hours)
                                2419200    ; expire (4 weeks)
                                86400      ; minimum (1 day)
                        NS      gateway.mastermilk.lan.
$ORIGIN _msdcs.mastermilk.lan.


$TTL 86400      ; 1 day
_sites.mastermilk.lan       IN SOA  gateway.mastermilk.lan. root.mastermilk.lan. (
                                200110223  ; serial
                                28800      ; refresh (8 hours)
                                7200       ; retry (2 hours)
                                2419200    ; expire (4 weeks)
                                86400      ; minimum (1 day)
                        NS      gateway.mastermilk.lan.
$ORIGIN _tcp.Default-First-Site-Name._sites.mastermilk.lan.


$TTL 86400      ; 1 day
_tcp.mastermilk.lan         IN SOA  gateway.mastermilk.lan. root.mastermilk.lan. (
                                200110224  ; serial
                                28800      ; refresh (8 hours)
                                7200       ; retry (2 hours)
                                2419200    ; expire (4 weeks)
                                86400      ; minimum (1 day)
                        NS      gateway.mastermilk.lan.
$ORIGIN _tcp.mastermilk.lan.


$TTL 86400      ; 1 day
_udp.mastermilk.lan         IN SOA  gateway.mastermilk.lan. root.mastermilk.lan. (
                                200110222  ; serial
                                28800      ; refresh (8 hours)
                                7200       ; retry (2 hours)
                                2419200    ; expire (4 weeks)
                                86400      ; minimum (1 day)
                        NS      gateway.mastermilk.lan.
$ORIGIN _udp.mastermilk.lan.
ddns-update-style interim;
update-static-leases on;
ddns-domainname "mastermilk.lan.";
ddns-rev-domainname "in-addr.arpa.";
option domain-name "mastermilk.lan";

key "mastermilk" {
        algorithm hmac-md5;
        secret "тут секрет з rndc.key";

zone mastermilk.lan. {
        key mastermilk;

zone 0.0.10.in-addr.arpa. {
        key mastermilk;

subnet netmask {
        allow client-updates;
        interface enp2s0;
        default-lease-time 86400;
        max-lease-time 86400;
        option subnet-mask;
        option broadcast-address;
        option routers;
        option domain-name-servers;
        option netbios-name-servers;
        option ntp-servers;

host gateway {
        ddns-hostname "gateway";
        option host-name "gateway";
        hardware ethernet 74:d4:35:06:ce:ed;

host windc {
        ddns-hostname "windc";
        option host-name "windc";
        hardware ethernet 52:54:00:2e:ac:c9;

Щодо мережі, то є дві зони: external та public, інтерфейс esp4s0 в external, а esp2s0 в public.. в зоні external ввімкнено masquerade, в зоні public додано сервіси samba, dhcp, ntp, dns, ssh.

11 Востаннє редагувалося HetmanNet (26.10.2016 20:27:00)

Одним словом, сів, перечитав кожну строку в конфігах зон bind.. знайшов що десь строку згубив, десь проґавив як копіпастив зразок і не виправив.. одним словом треба було дочекатися поки всі підуть та спокійно перечитати кожну строку логу та уважно кожну строку налаштування зон.. запустив..


Ну тепер лишилося налаштування контролеру домену.. і тут я взагалі навіть ідей не маю..  :[


Ну тепер лишилося налаштування контролеру домену.. і тут я взагалі навіть ідей не маю..  :[

А навіщо вам чіпати DC ви ж шлюз налаштовуєте???


Ну тепер лишилося налаштування контролеру домену.. і тут я взагалі навіть ідей не маю..  :[

А навіщо вам чіпати DC ви ж шлюз налаштовуєте???

І DC.. просто для DC треба норм шлюз, щоб можна було створити зону в локалці для нього і решти..


До речі, якщо кому треба то SRV записи описую тут..