Topic: SME ins lokale Netz integrieren: DNS-Auflösung wie richtig konfigurieren?

[turandot]

Hi @all,

folgendes Szenario. Mein LAN wird über IPCop ans Internet angebunden; IPCop stelllt sowohl DHCP- als auch DNS-Dienste im LAN zur Verfügung. Darüber hinaus ist ein SME im LAN, primär für Fileshare und als Domain-Controller für Windows-Clients. SME ist folglich als "Server only" konfiguriert. Windows- und andere Clients kriegen über DHCP mitgeteilt, daß DNS-Auflösung der lokalen domain "zuhause.xx" über IPCop läuft (SME ist nicht als zweiter DNS-Server eingetragen) und WINS über SME. Läuft alles prima.

Nun der Haken. SME hat ja einen eigenen DNS-Server an Bord. Folglich fühlt sich SME für die Domain "zuhause.xx" zuständig, und SME schaut nicht beim IPCop nach den lokalen Namen der anderen Clients; Test habe ich z.B. über eine Root-Konsole gemacht. (Die Namensauflösung anderer Domains funktioniert einwandfrei, weil ich in der SME-Konfiguration der Netzwerkkarte den IPCop als DNS-Server eingetragen habe.)

Wie kann ich dem SME beibringen, daß er sich nicht für die lokale Namensauflösung zuständig fühlt sondern immer bei meinem DNS-Server auf IPCop nachschaut, auch für das lokale Netz?

Ihr mögt fragen: wieso der Zauber, wo doch selbst die Windows-Domain funktioniert!? Ich will die Domain über ein VPN in ein anderes lokales Netzwerksegment ausdehnen. Und spätestens dann muß die DNS-Auflösung sauber klappen.

Danke im Voraus!

[FraunhoferIFF]

solche Fragen gehören eigentlich nicht zum SME , das is Samba...

aber wenn du dein LAN und deine Clienten über dein VPN sichtbar machen willst, wirst du dich genau mit diesem Thema befassen müssen.

Das Zauberwort :

http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/de/ref-guide/s1-samba-network-browsing.html

dein SME wird dann den Ipcop als Winsserver brauchen.

Marcel

[turandot]

Hallo Marcel,

ja und nein. Das, was ich letztendlich vorhabe, ist Sambakonfiguration, völlig richtig. WINS brauche ich auf alle Fälle, das ist auch klar. "Using Samba" http://books.google.de/books?id=nS-ztrs8GtcC&dq=using+samba&pg=PP1&ots=_siPMt9cAF&source=bn&sig=51n3QBIS-EMvS1Q3ptzru8WaHVo&hl=de&sa=X&oi=book_result&resnum=5&ct=result#PPP1,M1 steht dazu bei mir in gedruckter Form im Regal

Mein derzeitiges Problem ist SME: wie kriege ich SME konfiguriert, dass alle DNS-Namensauflösungsanfragen, auch die der eigenen lokalen Domain, zu einem anderen DNS-Server im gleichen LAN-Segment geforwarded werden? Mit anderen Worten: wie deaktiviere ich den Gebrauch des im SME integrierten DNS-Server vollständig und setze die Netzwerkeinträge dazu richtig? Geht das überhaupt?

Eine Alternative wäre möglicherweise, daß ich den IPCop nur sekundären DNS-Server im LAN nutze und ich den SME als primären DNS-Server über DHCP ausweise...

Gruß,

Turandot.

[Reinhold]

Den server willst du nicht abschalten ... nur den cache (imho = sonst evtl dhcpd ansehen)

Code: [Select]

db configuration setprop dnscache variable value
signal-event dns-update
mehr?
http://wiki.contribs.org/DB_Variables_Configuration

Regards
Reinhold

[turandot]

Reinhold,

das wäre zu diskutieren...

Ich hatte vor, den DNS-Server ganz abzuschalten, weil ich die Namensauflösung im lokalen Netz KOMPLETT von einem anderen DNS-Server (IPCop) erledigen lassen wollte. Alle Clients fragen DNS schon jetzt brav bei IPCop nach, nur SME nicht. Der fühlt sich selbst für die lokale Domain zuständig. Und das ist genau das Problem, das ich lösen will. Der SME soll eine ordentliche DNS-Auflösung für das lokale Netz bekommen.

Zurück zu Deinem Einwurf zum DNS-Cache. Was passiert denn, wenn ich den DNS-CacheSize auf z.B. 0 setze? Das ändert m.E. nichts am Grundproblem, daß der SME-DNS-Server sich für die "eigene" lokale Domain zuständig fühlt und erst gar keine Anfrage an den IPCop absetzt (wie SME das ganz brav macht für Domains aus dem Internet)...

Danke für die Hinweise

[FraunhoferIFF]

änder mal in

/etc/resolv.conf

den Eintrag Nameserver auf deinen IPCOP.

Marcel

[Reinhold]

... Das ändert m.E. nichts am Grundproblem,...

Hi turandot,

Hmmh? Solange jeder DNS das gleiche Ergebnis gibt (=sollte er, so funktioniert das internet: http://de.wikipedia.org/wiki/Domain_Name_System)(multiple Einträge sind kein Problem wenn sie identisch sind ) sehe ich da keine Probleme (jedenfalls nicht jetzt  )

Probleme gibt's nur wenn:
 i) die Namensauflösung (überhaupt) NICHT erfolgt (=Gau)
 ii) ...sie unterschiedlich ist (=cache)

SME benutzt tinydns ( http://tinydns.org/ )
und der ernährt sich (bei ziemlich sicher richtiger Konfiguration) direkt von den rootservern (außen)
bzw erfüllt (wie du ja als problematisch anmerkst) nach innen seinen ihm aufgetragenen Domaincontroller Zweck "per dhcp und wins (netbios-namen)".   (" beachten ! )

Die cachegröße auf 0 zu setzen ist imho ein Irrweg ... eigentlich ist der nämlich ganz nützlich  ... ein eingreifen da wäre sicherlich über ttl (time to live) "besser"...

Da ich i.A. das Problem nicht ganz verstehe, du aber meinst einen funktionierenden DNS zu haben 
der den Fehler i) (=der GAU) vermeidet kannst du ja ggf den SME DNS abschalten...

Code: [Select]

config setprop tinydns status disabled

signal-event post-upgrade
signal-event reboot
Halte ich für keine (so) gute Idee aber wir/ich brauchen mehr info...

Regards
Reinhold

P.S.: Schon mal http://de.wikipedia.org/wiki/Bind  gelesen ? ... (s.o. "tinydns" im SME )
P.P.S.: Erinnere mich nach dem ganzen getippe dumpf das es da mal einen Bugreport mit der "ListenIP property" von tinydns gab...
vielleicht siehst du dir doch mal dessen Konfiguration an ...   

[turandot]

Hi @all,

danke für Eure Hinweise

@Marcel,

der Eintrag auf dem SME in /etc/resolv.conf ist derzeit so:

Code: [Select]

domain zuhause.xx
nameserver <IP des SME>
Wenn ich das richtig verstanden habe, sollte das so aussehen:

Code: [Select]

domain zuhause.xx
nameserver <IP des IPCop>
Es leuchtet mir ein, daß dann nicht mehr der DNS-Server des SME sondern der des IPCop angesprochen wird. Muß ich in meiner Testumgebung mal probieren. Mich stört nur, daß ich direkt in die Datei /etc/resolv.conf reinschreibe statt über ein Custom-Template zu gehen. Kann ich mir dazu ein Custom-Template für /etc/resolv.conf schreiben?

@Reinhold,

wenn Du so willst, habe ich den GAU-Fall auf einer einzigen Maschine in meinem LAN, und zwar ist das der SME. Dort aber auch nur für die Namen der eigenen lokalen Domain in meinem LAN. (Ich habe bisher keine manuelle parallele Pflege der Hostnamenzuweisung auf  SME und IPCop.) Der Rest d.h. Internet funktioniert prima... TinyDNS auf dem SME abzuschalten, ist sicher nur eine Notlösung, das sehe ich absolut ein. Wenn ich auf SME den TinyDNS abschalte, die /etc/resolv.conf aber unverändert bleibt, dürfte die DNS-Auflösung auf dem SME komplett in die Knie gehen: einerseits sage ich, daß der SME die Namensauflösung macht (/etc/resolv.conf) andererseits schalte ich den DNS-Server auf dem SME ab. Wie soll das funktionieren? Insofern scheint mir Marcels Idee sinnvoller zu sein.

Inzwischen ist mir aber noch eine andere Idee gekommen. Wenn ich den DNS-Server des SME zu meinem primären DNS-Server im LAN erhebe und den DNS des IPCop zum sekundären zurückstufe, sollte sich mein Problem erledigen. Ich muß mal sehen, ob ich dann nicht auch DHCP des SME nutzen muß und auf IPCop abschalten muß. Das wiederum wäre m.E. keine so gute Idee, da ich bewußt den SME nicht auch als Firewall nutze. Mit anderen Worten: schalte ich den SME ab, hätte mein LAN zwar immer noch einen Internetzugang, aber mangels IP-Adreßzuweisung über DHCP funktioniert kein Client mit dynamischer IP-Adresse mehr im LAN...

Danke für die Anregungen, jetzt muß ich erst mal ein wenig experimentieren. Ich poste die Resultate gelegentlich, mangels Zeit sicher aber nicht in den nächsten wenigen Tagen.

Gruß, turandot

[mdo]

Ich wuerde folgendes versuchen:

Im Server-manager unter Confuguration/Domains/Modify corporate DNS settings setz doch mal die IP vom IP-Cop server ein.
Dann sollte SME anstatt die Root server zu fragen seine DNS Anfragen an den Ip-Cop schicken.

[turandot]

Hi mdo,

bei der Grundkonfigurierung im Servermanager auf der Konsole (bei mir "Server only") wird u.a. die Gateway-IP-Adresse abgefragt und der DHCP-Status gesetzt (bei mir deaktiviert). Darüber hinaus kann ein zusätzlicher DNS-Server eingetragen werden; bei mir ist dort die IP-Adresse des IPCop drin. Damit sollte genau das Ziel erreicht sein. Das ist aber nicht ausreichend, da SME sich ja selber für die Domain zuständig fühlt...

Gruß, turandot

[turandot]

@mdo,

nochmals danke für den Hinweis, ich hatte ihn zu Beginn nicht richtig verstanden.

Mit der von Dir vorgeschlagenen Einstellung habe ich genau das Ziel erreicht, das ich erreichen wollte

[mdo]

Freut mich zu hoeren dass es so klappt. Schoenen Dank fuers feedback.