Auteur Sujet: Interrogation DNS maitre via un autre  (Lu 5047 fois)

0 Membres et 1 Invité sur ce sujet

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Interrogation DNS maitre via un autre
« Réponse #12 le: 11 septembre 2018 à 00:29:25 »
Yes
renaud@renaud-pc:~$ dig +short srvad.samba.dc @192.168.1.2
192.168.1.41

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Interrogation DNS maitre via un autre
« Réponse #13 le: 11 septembre 2018 à 00:47:40 »
on peut pas tracer a cause du .dc donc il faudrait se mettre sur le serveur .2 et faire le dig de la en faisant une capture au passage ( tcpdump -i eth0 udp port 53 en ajustant eth0 a la carte réseau réelle)

l'idée est de voir ce qui se passe entre .2 et et .41.

a moins d'une sécurité sur le serveur dns du samba qui répond pas aux requetes des machines qui sont pas dans le domaine (cas de .2 j'imagine ?) ?

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Interrogation DNS maitre via un autre
« Réponse #14 le: 11 septembre 2018 à 00:56:47 »
a moins d'une sécurité sur le serveur dns du samba qui répond pas aux requetes des machines qui sont pas dans le domaine (cas de .2 j'imagine ?) ?

Pourtant si je fais un dig à la main à partir de mon poste (qui ne fait pas parti du domaine non plus) ou du serveur, j'ai bien l'ip de toutes les machines du domaine :

renaud@renaud-pc:~$ dig +short xp1.samba.dc @192.168.1.41
192.168.1.30
renaud@renaud-pc:~$ dig +short xp2.samba.dc @192.168.1.41
192.168.1.32
renaud@renaud-pc:~$ dig +short entreprise-pc.samba.dc @192.168.1.41
192.168.1.38
renaud@renaud-pc:~$ dig +short diffusion.samba.dc @192.168.1.41
192.168.1.100
renaud@renaud-pc:~$

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Interrogation DNS maitre via un autre
« Réponse #15 le: 11 septembre 2018 à 02:02:48 »
J'ai regardé le trafic avec wireshark et ce que je pensais s'avère juste : lorsque je demande l'ip d'un des PC du domaine, il n'y a aucune demande ni réponse de 192.168.1.2 à 192.168.1.41, en gros bind considère le domaine comme local et cherche uniquement dans la zone samba.dc et vu qu'il ne trouve rien bah il renvoie NXDOMAIN...

J'ai testé l'option forwarders { 192.168.1.41; }; spécifiquement sur la zone, mais ça ne change rien.

Anonyme

  • Invité
Interrogation DNS maitre via un autre
« Réponse #16 le: 11 septembre 2018 à 03:49:19 »
Il y a quoi dans les options de named.conf.options ? Un allow transfert ?
et dans named.conf, une zone "stub" au lieu de "primary/slave" ?

Ce sont des suggestions.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Interrogation DNS maitre via un autre
« Réponse #17 le: 11 septembre 2018 à 10:06:19 »
J'ai regardé le trafic avec wireshark et ce que je pensais s'avère juste : lorsque je demande l'ip d'un des PC du domaine, il n'y a aucune demande ni réponse de 192.168.1.2 à 192.168.1.41, en gros bind considère le domaine comme local et cherche uniquement dans la zone samba.dc et vu qu'il ne trouve rien bah il renvoie NXDOMAIN...

Je presume que les trucs de base ont été fait ? (named-checkconf, verif de la config, etc)

tu n'a pas posté ta config bind non plus ( /etc/named.conf )

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Interrogation DNS maitre via un autre
« Réponse #18 le: 11 septembre 2018 à 13:20:48 »
Oups, quand tu disais conf bind je pensais que tu me réclamais la config de la zone primaire samba.dc, voici donc :

named.conf.local
root@serveur:~# cat /etc/bind/named.conf.local
//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization

//include "/etc/bind/zones.rfc1918";

// déclaration de l'acl "internals"
acl internals { 127.0.0.0/8; 192.168.1.0/24; };

// clé de controle pour la mise à jour dhcp dynamique
include "/etc/bind/rndc.key";

controls { inet 127.0.0.1 allow { localhost; } keys { "lapalisselan"; }; };

zone "lapalisse.lan" {
       type master;
       file "/etc/bind/db.lapalisse.lan";
allow-update { key "lapalisselan"; };
allow-transfer { 192.168.1.10; };
       forwarders{};
notify yes;
};

zone "interdit.fr" {
      type master;
      file "/etc/bind/interdit.fr";
allow-transfer { 192.168.1.10; };
      allow-query {none;};
};



zone "1.168.192.in-addr.arpa" {
       type master;
       file "/etc/bind/db.lapalisse.lan.inv";
allow-update { key "lapalisselan"; };
allow-transfer { 192.168.1.10; };
// notify yes; // pour notifier un esclave
       forwarders{};
};

zone "mondomaine.fr" {
       type master;
       file "/etc/bind/db.mondomaine.fr";
// allow-update { key "lapalisselan"; }; // blabla
allow-transfer {
192.168.1.10;
};
       forwarders{};
notify yes;
};

zone "samba.dc" {
type master;
forwarders{ 192.168.1.41; };
file "/var/lib/bind/samba.dc.hosts";
};

named.conf.options

root@serveur:~# cat /etc/bind/named.conf.options
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk.  See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders. 
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
// response-policy { zone "interdit.fr"; };
forward only;
forwarders {
80.67.169.12;
80.67.169.40;
31.3.135.232;
};
listen-on {
127.0.0.1;
192.168.1.2;
};
allow-transfer { 192.168.1.10; };
allow-query { any; };
allow-recursion {
any;
};
auth-nxdomain no;    # conform to RFC1035
listen-on-v6 { 2001:470:1f0b:90f:d250:99ff:fe7e:fede;
::1;
};
};

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Interrogation DNS maitre via un autre
« Réponse #19 le: 11 septembre 2018 à 13:50:40 »
Je viens de trouver ! Il suffisait que je crée une zone de forward tout simplement. Ajouter l'option forwarders sur la zone maître ne fonctionnait pas du tout. Ni la zone stub d'ailleurs. Merci Phillipe de m'avoir mis sur la piste  :)

zone "samba.dc" {
        type forward;
        forwarders {
        192.168.1.41;
        };
};

Et ça fonctionne (cette fois je vois bien les requêtes qui s’échangent entre les 2) :

root@serveur:~# dig xp1.samba.dc @192.168.1.2

; <<>> DiG 9.10.3-P4-Debian <<>> xp1.samba.dc @192.168.1.2
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56291
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 7, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;xp1.samba.dc. IN A

;; ANSWER SECTION:
xp1.samba.dc. 1200 IN A 192.168.1.30

;; AUTHORITY SECTION:
. 77225 IN NS ns10.opennic.glue.
. 77225 IN NS ns9.opennic.glue.
. 77225 IN NS ns5.opennic.glue.
. 77225 IN NS ns2.opennic.glue.
. 77225 IN NS ns6.opennic.glue.
. 77225 IN NS ns4.opennic.glue.
. 77225 IN NS ns8.opennic.glue.

;; Query time: 5 msec
;; SERVER: 192.168.1.2#53(192.168.1.2)
;; WHEN: Tue Sep 11 13:47:00 CEST 2018
;; MSG SIZE  rcvd: 189

root@serveur:~#

root@serveur:~# dig +short entreprise-pc.samba.dc @192.168.1.2
192.168.1.38
root@serveur:~# dig +short samba.dc @192.168.1.2
192.168.1.41
root@serveur:~# dig +short diffusion.samba.dc @192.168.1.2
192.168.1.100


renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Interrogation DNS maitre via un autre
« Réponse #20 le: 11 septembre 2018 à 15:33:54 »
Je valide également la jonction au domaine, tout fonctionne à priori  8)

Merci à vous deux pour l'aide  ;)

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Interrogation DNS maitre via un autre
« Réponse #21 le: 11 septembre 2018 à 15:51:19 »
En regardant plus en détail les requêtes DNS, je m’aperçois que le DNS samba demande de résoudre un nom spécifique à Kerberos, alors que si je fais ce dig à la main, ça retourne que c'est bien srvad.samba.dc qui s'en occupe. Pourquoi diable est-ce que ça veut être résolu comme domaine externe ?

renaud@renaud-pc:~$ dig SRV _kerberos._udp.samba.dc @192.168.1.41

; <<>> DiG 9.11.3-1ubuntu1.1-Ubuntu <<>> SRV _kerberos._udp.samba.dc @192.168.1.41
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54078
;; flags: qr aa rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;_kerberos._udp.samba.dc. IN SRV

;; ANSWER SECTION:
_kerberos._udp.samba.dc. 900 IN SRV 0 100 88 srvad.samba.dc.

;; AUTHORITY SECTION:
samba.dc. 3600 IN SOA srvad.samba.dc. hostmaster.samba.dc. 1 900 600 86400 3600

;; Query time: 0 msec
;; SERVER: 192.168.1.41#53(192.168.1.41)
;; WHEN: Tue Sep 11 15:41:43 CEST 2018
;; MSG SIZE  rcvd: 114


Car quand on regarde la doc ubuntu à ce sujet, c'est bien le serveur AD qui doit être retourné en enregistrement SRV.

Si vous êtes plus calé que moi en active directory...

Anonyme

  • Invité
Interrogation DNS maitre via un autre
« Réponse #22 le: 11 septembre 2018 à 16:19:26 »
Qui gère "dc." ?

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Interrogation DNS maitre via un autre
« Réponse #23 le: 11 septembre 2018 à 16:33:02 »
C'est samba, puisque c'est le nom du domaine... du coup je vois pas pourquoi il voudrait résoudre via mon DNS local... A moins que ce soit dû à mon resolv.conf ? Car je viens de voir qu'il s'est encore régénéré automatiquement en remattant mes 2 DNS locaux à la place de 127.0.0.1  >:(

Enfin, y'a pas 2 tutos qui disent la même chose... certains disent de mettre 127.0.0.1 et le domaine en search d'autres non...