ubuntuusers.de

Moin ☺,

ich möchte meine DNS-Anfragen, die ich selber nicht beantworten kann, zu einem Windows-DNS-Server (in einem anderen Netz) weiterleiten (der Windows DNS-Server funktioniert!). Ich habe nun in der Datei /etc/bind/named.conf.options folgendes eingetragen:

1
2
3
4
5
6

forwarders {
10.1.81.180;
8.8.8.8;
};

dnssec-validation no;

Wenn ich nun nslookup 10.1.81.180 eingebe, wird nicht aufgelöst. Wenn ich den Namen aber eingebe, wird dieser erfolgreich aufgelöst.

Ein weiteres Problem ist, wenn ich z.B. mit einem 2 Rechner eine nslookup-Abfrage mi dem Namen starte, wird dieser nicht aufgelöst, obwohl der DNS das selber auflösen kann???

Von Netz B aus nach Netz A auflösen funktioniert alles. (habe da einfach nur dem DNS gesagt, wo er weiterleiten soll, wenn er selber nicht antworten kann)

Wo liegt jetzt der Fehler? Fehlt euch Informationen? Dann bitte Bescheid sagen!

Bin für jede Hilfe dankbar! ☺

LG Schanror

Schanror schrieb:

Wenn ich nun nslookup 10.1.81.180 eingebe, wird nicht aufgelöst. Wenn ich den Namen aber eingebe, wird dieser erfolgreich aufgelöst.

Was steht denn in der /etc/resolv.conf? Wo ist der Bind denn installiert? Wie sieht das Setup aus?

Ein weiteres Problem ist, wenn ich z.B. mit einem 2 Rechner eine nslookup-Abfrage mi dem Namen starte, wird dieser nicht aufgelöst, obwohl der DNS das selber auflösen kann???

Mit einem zweiten Rechner? In welchem Netz steht der? Welche DNS-Server sind eingestellt?

Von Netz B aus nach Netz A auflösen funktioniert alles. (habe da einfach nur dem DNS gesagt, wo er weiterleiten soll, wenn er selber nicht antworten kann)

Was ist Netz B? Was ist Netz A? Was für eine Namensauflösung funktioniert?

Wo liegt jetzt der Fehler? Fehlt euch Informationen?

Ja, ein paar konkrete Infos wären schon nice 😉

Meine Netzen (vllt erinnerst du dich 😛) sieht wie folgt aus:

Netz 1: Mailserver - DNS - FW

Netz 2: W7-Client - DC - Exchange Server - FW (die selbe wie in Netz 1)

Die beiden Netze funktionieren lokal komplett. Nun kann ich eine Mail vom Exchange Server zum Mailserver versenden (diese kommt auch an), nun möchte ich das der Mailserver auch eine Mail zum Exchange senden kann (was nicht funktioniert).

Meine Idee war es, das ein MX-Eintrag im DC DNS fehlt, also habe ich diesen nachgetragen (MX = Exchange-Server) und wie oben schon genannt, im DNS (Netz 1) den Forwarder eingetragen.

Bind ist im Rechner DNS (Netz 1) installiert und funktioniert lokal auch komplett, jeder lokaler Rechner kann erfolgreich aufgelöst werden.

In /etc/resolv.conf steht folgendes:

Domain Domain.local (muss hier nicht testmail.extern (Domain von Netz1) eingetragen sein?

nameserver 127.0.0.1 (lokal)

nameserver 10.1.80.110 (Rechner DNS)

So nachdem ich den Forwarder eingetragen habe, kann ich von dem Rechner DNS aus nslookup Name machen, und diese werden erfolgreich ausgelöst (Name.domain & IP-Adresse). Wenn ich allerdings nslookup IP-Adresse eingebe, folgt diese Fehlermeldung: Server cant find 180.81.10.1.in-addr.arpa: SERVFAIL

Dann habe ich probiert vom Mailserver aus nslookup Name zu machen (was eigentlich ja funktionieren sollte, da es beim DNS klappt und dieser befragt wird???) was allerdings nicht klappt, dass wird ausgegeben: Server cant find dc.blubb.local: NXDOMAIN

So sag Bescheid wenn noch mehr Infos fehlen ☺

OK die resolv.conf war beim Mailserver falsch, danke dafür schonmal! ☺ Jz kann ich auch mit nslookup Name auflösen, mit der IP-Adresse immer noch nicht.

Das ist wahrscheinlich auch der Grund warum Postfix beim Mailversand das hier ausgibt: (Host or domain name not found. Name service error for name=Domain.com type=MX: Host not found, try again)

Im Prinzip soll ja die Mail nur den DC erreichen (DNS-Dienst), weil dort dann der MX-Eintrag steht.

Schanror schrieb:

OK die resolv.conf war beim Mailserver falsch, danke dafür schonmal! ☺ Jz kann ich auch mit nslookup Name auflösen, mit der IP-Adresse immer noch nicht.

Was würdest du denn erwarten, dass bei "nslookup <ip>" passiert? Hast du eine Reverse-DNS-Auflösung für die IPs eingetragen?

Das ist wahrscheinlich auch der Grund warum Postfix beim Mailversand das hier ausgibt: (Host or domain name not found. Name service error for name=Domain.com type=MX: Host not found, try again)

Das liegt vermutlich daran, dass deine Bind-Einstellungen vermutlich noch falsch sind. Ich bin kein Bind-Experte, aber ich würde es so probieren:

1
2
3
4

zone "blubb.local" IN {
	type forward;
	forwarders { 10.1.80.110; };
};

Als generelle Forwarder kannst du 8.8.8.8 stehen lassen. Ich glaube das Problem könnte sein, dass er eine falsche Antwort zu der Auflösung gecached hat. Hat der DNS beispielsweise die Anfrage anfangs an den Google-DNS geschickt, hat dieser gesagt, dass er es nicht auflösen kann. Diese Antwort wird auch gecached.

Im Prinzip soll ja die Mail nur den DC erreichen (DNS-Dienst), weil dort dann der MX-Eintrag steht.

Steht etwas im Daemon-Log zu Bind? Irgendeine Meldung, die aufschlussreich sein könnte?

Naja wenn ich nslookup <ip> eingebe, erwarte ich das der Name.domain ausgegeben wird. Den Befehl "Forwarder" habe ich so verstanden, dass wenn der DNS selber Request nicht beantworten kann, er die Request zum Forwarder-Eintrag schickt, also in dem Fall der Rechner DC. Und in diesem Rechner (DC) ist ja die Reverse-Zone vorhanden, deswegen wundert es mich, warum das nicht aufgelöst wird.

Habe jz den 8.8.8.8 DNS komplett rausgekickt und die Internet-Verbindung getrennt. Jetzt sind die beiden Netze nur noch miteinander Verbunden. Die Logs überprüfe ich mal und schaue nochmal ob die Reverse-Zone vom DC korrekt ist. Sollte ich den Zonen-Eintrag auch in /etc/bind/named.conf.options eintragen?

Und erst mal vielen Dank für die Hilfe! ☺

Schanror schrieb:

Naja wenn ich nslookup <ip> eingebe, erwarte ich das der Name.domain ausgegeben wird.

Hast du das auch so konfiguriert? Eine DNS-Auflösung ist naturgemäß eine Einbahnstraße, schon deshalb weil du 10 Namen hast, die auf die gleiche IP zeigen, aber nur ein Name für eine Reverse-Auflösung angegeben werden kann.

Den Befehl "Forwarder" habe ich so verstanden, dass wenn der DNS selber Request nicht beantworten kann, er die Request zum Forwarder-Eintrag schickt, also in dem Fall der Rechner DC. Und in diesem Rechner (DC) ist ja die Reverse-Zone vorhanden, deswegen wundert es mich, warum das nicht aufgelöst wird.

Wie gesagt: Eventuell hat er anfangs nur den Google-DNS befragt, hat keine Antwort bekommen und diese Antwort gecached.

Habe jz den 8.8.8.8 DNS komplett rausgekickt und die Internet-Verbindung getrennt. Jetzt sind die beiden Netze nur noch miteinander Verbunden. Die Logs überprüfe ich mal und schaue nochmal ob die Reverse-Zone vom DC korrekt ist. Sollte ich den Zonen-Eintrag auch in /etc/bind/named.conf.options eintragen?

Entweder dort, oder in "/etc/bind/named.conf.local".

Ja die Reverse-Zone ist konfiguriert (aufm DC) und funktioniert auch.

Laut Fehlermeldung wird Zone: 150.81.1.10.in-addr.arpa nicht gefunden, im DC heißt die Reverse-Zone aber 81.1.10.in-addr.arpa

Liegt darin das Problem?

EDIT: Zone nachgetragen und alter Forwarder-Eintrag entfernt, allerdings bleibt das Problem bestehen.

Schanror schrieb:

Laut Fehlermeldung wird Zone: 150.81.1.10.in-addr.arpa nicht gefunden, im DC heißt die Reverse-Zone aber 81.1.10.in-addr.arpa

Ist klar, das letzte Oktett ist ja der Host und keine Zone. Soweit sollte das also passen.

EDIT: Zone nachgetragen und alter Forwarder-Eintrag entfernt, allerdings bleibt das Problem bestehen.

Ich vermute mal, dass dein DNS noch nicht korrekt den DC nach seiner Zone fragt. Aber das ist nicht ganz einfach zu debuggen. Hast du dir mal mit Wireshark angeguckt, welche Pakete gesendet werden? DNS lässt sich mit Wireshark noch vergleichsweise einfach debuggen.

Sorry das ich erst jz antworte!

Also hier erstmal die syslogs von bind (wenn ich nslookup dc.beispiel.local eingebe):

1
2
3

Jan 20 12:34:51 DNS named[368]: client 127.0.0.1#50081 (dc.beispiel.local): query: dc.beispiel.local IN A + (127.0.0.1)
Jan 20 12:34:54 DNS named[368]: client 10.1.81.180#65370 (_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.beispiel.com): query: _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.beispiel.com IN SRV +ED (10.1.80.110)
Jan 20 12:34:54 DNS named[368]: client 10.1.81.180#65370 (_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.beispiel.com): query (cache) '_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.beispiel.com/SRV/IN' denied

Ich schaue mir nun "Wireshark" an, hab leider bisher gar nicht damit zu tun gehabt.

Hast du im Bind für lokale Clients die recursion an?

misterunknown schrieb:

Hast du im Bind für lokale Clients die recursion an?

Das stell ich in der named.conf.options ein oder? Falls ja, dann habe ich das nicht konfiguriert, es ist da nichtmal eingetragen, meine named.conf.options ist fast komplett leer, die sieht wie folgt aus:

1
2
3
4
5

        dnssec-validation no;

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };

Den forwarder habe ich in der Zonen-Datei eingetragen.

Schanror schrieb:

Den forwarder habe ich in der Zonen-Datei eingetragen.

Dann pack mal in die Zone noch die Anweisung:

1

recursion yes

mit rein. Aktuell sieht es für mich so aus, als ob der Bind das nicht zulässt und daher keine Antwort auf die Anfragen rausreicht.

Ja das habe ich vorher schon probiert mit:

1
2
3
4

        recursion yes;
        allow-recursion { 127.0.0.1; };
        allow-recursion-on { 127.0.0.1; };

Allerdings ohne Erfolg, immer noch dasselbe Ergebnis.

Schanror schrieb:

Ja das habe ich vorher schon probiert mit: Allerdings ohne Erfolg, immer noch dasselbe Ergebnis.

Mir gehen langsam die Ideen aus. Ich würde an deiner Stelle jetzt Wireshark oder tcpdump nehmen und den Netzwerkverkehr direkt mitschneiden. Vielleicht sieht man da noch was interessantes.