Windows DNS: probleem met conditional forwarder voor domein - Serversoftware en clouddiensten

Vraag

woensdag 2 januari 2019 14:20

Acties:

Topicstarter

De beste wensen voor 2019!

Een klant van ons wil kunnen printen met iPads middels Airprint. De iPads bevinden zich in een ander LAN dan de printers/printserver. Om dit op te lossen is er een Linux server met Cups gebouwd. Om de iPads de printserver te laten vinden, maken we gebruik van dns-sd en voor de benodigde records is op de Linux doos een Bind9 server ingericht.

De primaire dns servers draaien onder twee Windows 2012 servers. Op deze server wil ik een conditional forwarder configureren die requests voor het bonjour-domein laat oplossen door de Bind9 server. Dit lukt niet en ik krijg een 'onbekende fout' terug. In de logging zie ik dat de Windows server een query doet voor "./SOA/IN". Bind9 kent in dit geval alleen het domein bonjour.<klantdomein>.

Wat is dit punt-domein eigenlijk en waarom vraagt Windows DNS hier naar?

Alle reacties

woensdag 2 januari 2019 14:33

Acties:

Meekoh

Is de windows DNS Server de SOA (Start Of Authority) voor <klantdomein>?
En bestaat de zone bonjour.<klantdomein> ook op de windows DNS server?
Als laatste is je Bind9 bakje wel authorative voor bonjour.<klantdomein>?

edit:
Als ze op een ander lan zitten dan ben je er nog niet met alleen dns resolving toch?

[ Voor 17% gewijzigd door Meekoh op 02-01-2019 14:34 ]

Computer says no

woensdag 2 januari 2019 14:45

Acties:

amarok

Topicstarter

Windows DNS is inderdaad authorative voor <klantdomein>.

bonjour.<klantdomein> bestaat NIET op de Windows DNS servers. Is dat wel de bedoeling?

Of Bind9 authorative is voor bonjour.<klantdomein> zal ik moeten checken. Kom ik op terug.

Er moet inderdaad nog meer gebeuren voor bonjour. Er moeten o.a. nog wat andere records aangemaakt worden op de primaire DNS servers. Mijn oplossing is gebouwd volgens deze en deze documenten.

woensdag 2 januari 2019 15:09

Acties:

Meekoh

amarok schreef op woensdag 2 januari 2019 @ 14:45:
Windows DNS is inderdaad authorative voor <klantdomein>.

bonjour.<klantdomein> bestaat NIET op de Windows DNS servers. Is dat wel de bedoeling?

Of Bind9 authorative is voor bonjour.<klantdomein> zal ik moeten checken. Kom ik op terug.

Er moet inderdaad nog meer gebeuren voor bonjour. Er moeten o.a. nog wat andere records aangemaakt worden op de primaire DNS servers. Mijn oplossing is gebouwd volgens deze en deze documenten.

bonjour.<klantdomein> moet niet op Windows DNS, dus dat is correct.
Kun je uberhaupt met nslookup vanaf je windows bak een bonjour.<klantdomein> record resolven naar je bind9 server?

code:

1	nslookup testrecord.bonjour.<klantdomein> IPVANJEBIND9BAK

Computer says no

woensdag 2 januari 2019 15:16

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Waarom host je het bonjour domein niet rechtstreeks op de Windows server?

Gelet op je opzet, moeten je ipads toch al dns-query's gaan uitvoeren tegen de windows server aan (die dan recursive weer een query gaat doen bij de bind-server). Da's een beetje onnodige complexiteit dan...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 2 januari 2019 17:11

Acties:

Meekoh

Question Mark schreef op woensdag 2 januari 2019 @ 15:16:
Waarom host je het bonjour domein niet rechtstreeks op de Windows server?

Gelet op je opzet, moeten je ipads toch al dns-query's gaan uitvoeren tegen de windows server aan (die dan recursive weer een query gaat doen bij de bind-server). Da's een beetje onnodige complexiteit dan...

Als ik zo een beetje rondlees in die handleiding van TS en wat ik op het internet zie, heb je opzich geen aparte DNS Server nodig.
Windows kan dit opzich ook.
De echte truc waarom dit werkt zit in Cups. Je DNS Server moet gewoon de juiste records hebben:
http://sybaspot.com/confi...cluding-airprint-for-ios/

Computer says no

donderdag 3 januari 2019 14:25

Acties:

amarok

Topicstarter

nslookup <domeinnaam uit bonjour zone>.<klantdomein> IPVANLINUXBAK werkt inderdaad.

Als ik aan de Linuxbak het SOA-record van '.' laat opvragen, dan krijg ik dezelfde foutmelding als die de Windows servers veroorzaken. Wat is precies het .-domein?

Waarom er nu voor een additionele Linux doos is gekozen voor de resolving van dit specifieke domein, is omdat ik die zelf kan beheren. De Windows DNS servers beheer ik zelf niet, waardoor ik niet snel aanpassingen kan doen aan de records als dit nodig is.

Als alles verder probleemloos werkt is het een optie (en dat heeft mijn voorkeur) om het bonjour-domein te laten resolven door de Windows-bakken. Maar eerst moet de precieze inhoud van de records bepaald worden. Het is wat trial-and-error, helaas.

donderdag 3 januari 2019 14:54

Acties:

amarok

Topicstarter

Ik ben iets verder, maar zet er vraagtekens bij: in named.conf staat dat voor een authorative server recursie uit moet staan en voor een caching server moet dit aan staan. Als recursie aan staat, dat gaat de Windows server wat verder. Bind geeft dan de DNS rootservers terug en kennelijk is Windows daar tevreden mee.

Helaas gaat het daarna weer mis, met nog een onbekende fout. Ben ik nu aan het troubleshooten.

Is 'recursion on' een veiligheidsrisico?

vrijdag 4 januari 2019 11:42

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Ik lees je TS nog een keer door, en het volgende valt mij op:

Je hebt nu een conditional forwarder aangemaakt voor een childzone, waarvan de parentzone op de dns-server zelf al gehost wordt. Je hebt dan geen conditional forwarder nodig, maar een delegate.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Pagina: 1

Reageer