Univention Bugzilla – Bug 34595
bind+Samba4 verweigert Updates von DNS-Einträgen
Last modified: 2018-04-13 13:32:27 CEST
Auf unserem UCS-Master trinculo gibt's Tonnen folgender Meldungen: Apr 16 15:02:22 trinculo named[19275]: samba_dlz: starting transaction on zone bs.linet-services.de Apr 16 15:02:22 trinculo named[19275]: samba_dlz: disallowing update of signer=amarone\$\@BS.LINET-SERVICES.DE name=Amarone.bs.linet-services.de type=AAAA error=insufficient access rights Apr 16 15:02:22 trinculo named[19275]: client 10.199.92.13#59986: updating zone 'bs.linet-services.de/NONE': update failed: rejected by secure update (REFUSED) Apr 16 15:02:22 trinculo named[19275]: samba_dlz: cancelling transaction on zone bs.linet-services.de Das gleiche Problem haben wir mit fast allen Windows-Rechnern und -Servern. amarone selber ist ein Windows 7, das Problem besteht aber auch mit Windows Server 2008, Windows 8.x. Alle Windows-Rechner sind in die Domäne gejoint. Die IP-Adresse für amarone ist ebenfalls korrekt: [0 root@trinculo ~] host amarone.bs.linet-services.de amarone.bs.linet-services.de has address 10.199.92.13 Die Datei /var/lib/samba/private/named.conf.update: /* this file is auto-generated - do not edit */ update-policy { grant BS.LINET-SERVICES.DE ms-self * A AAAA; grant Administrator@BS.LINET-SERVICES.DE wildcard * A AAAA SRV CNAME; grant TRINCULO$@bs.linet-services.de wildcard * A AAAA SRV CNAME; }; und sie wird in /etc/bind/named.conf.samba4 auch richtig includiert. Es funktioniert eigentlich nur bei unserem Windows-2012-Server: Apr 16 04:11:58 trinculo named[19275]: samba_dlz: starting transaction on zone bs.linet-services.de Apr 16 04:11:58 trinculo named[19275]: samba_dlz: allowing update of signer=equinox\$\@BS.LINET-SERVICES.DE name=equinox.bs.linet-services.de tcpaddr= type=AAAA key=1160-ms-7.247-1816e6ed.9e607b14-c15f-11e3-50a2-000c29dc13a5/160/0 Apr 16 04:11:58 trinculo named[19275]: samba_dlz: allowing update of signer=equinox\$\@BS.LINET-SERVICES.DE name=equinox.bs.linet-services.de tcpaddr= type=A key=1160-ms-7.247-1816e6ed.9e607b14-c15f-11e3-50a2-000c29dc13a5/160/0 Apr 16 04:11:58 trinculo named[19275]: samba_dlz: allowing update of signer=equinox\$\@BS.LINET-SERVICES.DE name=equinox.bs.linet-services.de tcpaddr= type=AAAA key=1160-ms-7.247-1816e6ed.9e607b14-c15f-11e3-50a2-000c29dc13a5/160/0 Apr 16 04:11:58 trinculo named[19275]: samba_dlz: allowing update of signer=equinox\$\@BS.LINET-SERVICES.DE name=equinox.bs.linet-services.de tcpaddr= type=AAAA key=1160-ms-7.247-1816e6ed.9e607b14-c15f-11e3-50a2-000c29dc13a5/160/0 Apr 16 04:11:58 trinculo named[19275]: samba_dlz: allowing update of signer=equinox\$\@BS.LINET-SERVICES.DE name=equinox.bs.linet-services.de tcpaddr= type=A key=1160-ms-7.247-1816e6ed.9e607b14-c15f-11e3-50a2-000c29dc13a5/160/0 Apr 16 04:11:58 trinculo named[19275]: client 10.199.93.20#57491: updating zone 'bs.linet-services.de/NONE': deleting rrset at 'equinox.bs.linet-services.de' AAAA Apr 16 04:11:58 trinculo named[19275]: samba_dlz: cancelling transaction on zone bs.linet-services.de (Unter der Annahme, dass »cancelling transaction« am Ende trotzdem Erfolg bedeutet)
Ups, equinox ist ein Windows-2008-Server; der 2012er Server darf ebenfalls nicht aktualisieren.
Ich glaube nicht, dass das ein generisches Problem ist. Für eine Analyse besser das Forum oder den Support verwenden. Vermutlich sind die DNS Objekte mit einem administrativem Account angelegt worden und dürfen deshalb nicht überschrieben werden. Ansonsten Uhrzeit, Kerberos Server usw. prüfen.