First Last Prev Next    This bug is not in your last search results.
Bug 34595 - bind+Samba4 verweigert Updates von DNS-Einträgen
bind+Samba4 verweigert Updates von DNS-Einträgen
Status: RESOLVED WORKSFORME
Product: UCS
Classification: Unclassified
Component: DNS
UCS 3.2
Other Linux
: P5 normal (vote)
: ---
Assigned To: UCS maintainers
:
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2014-04-17 13:01 CEST by Moritz Bunkus
Modified: 2018-04-13 13:32 CEST (History)
1 user (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Moritz Bunkus 2014-04-17 13:01:48 CEST 
Auf unserem UCS-Master trinculo gibt's Tonnen folgender Meldungen:

Apr 16 15:02:22 trinculo named[19275]: samba_dlz: starting transaction on zone bs.linet-services.de
Apr 16 15:02:22 trinculo named[19275]: samba_dlz: disallowing update of signer=amarone\$\@BS.LINET-SERVICES.DE name=Amarone.bs.linet-services.de type=AAAA error=insufficient access rights
Apr 16 15:02:22 trinculo named[19275]: client 10.199.92.13#59986: updating zone 'bs.linet-services.de/NONE': update failed: rejected by secure update (REFUSED)
Apr 16 15:02:22 trinculo named[19275]: samba_dlz: cancelling transaction on zone bs.linet-services.de

Das gleiche Problem haben wir mit fast allen Windows-Rechnern und -Servern. amarone selber ist ein Windows 7, das Problem besteht aber auch mit Windows Server 2008, Windows 8.x. Alle Windows-Rechner sind in die Domäne gejoint. Die IP-Adresse für amarone ist ebenfalls korrekt:

[0 root@trinculo ~] host amarone.bs.linet-services.de
amarone.bs.linet-services.de has address 10.199.92.13

Die Datei /var/lib/samba/private/named.conf.update:

/* this file is auto-generated - do not edit */
update-policy {
        grant BS.LINET-SERVICES.DE ms-self * A AAAA;
        grant Administrator@BS.LINET-SERVICES.DE wildcard * A AAAA SRV CNAME;
        grant TRINCULO$@bs.linet-services.de wildcard * A AAAA SRV CNAME;
};

und sie wird in /etc/bind/named.conf.samba4 auch richtig includiert.

Es funktioniert eigentlich nur bei unserem Windows-2012-Server:

Apr 16 04:11:58 trinculo named[19275]: samba_dlz: starting transaction on zone bs.linet-services.de
Apr 16 04:11:58 trinculo named[19275]: samba_dlz: allowing update of signer=equinox\$\@BS.LINET-SERVICES.DE name=equinox.bs.linet-services.de tcpaddr= type=AAAA key=1160-ms-7.247-1816e6ed.9e607b14-c15f-11e3-50a2-000c29dc13a5/160/0
Apr 16 04:11:58 trinculo named[19275]: samba_dlz: allowing update of signer=equinox\$\@BS.LINET-SERVICES.DE name=equinox.bs.linet-services.de tcpaddr= type=A key=1160-ms-7.247-1816e6ed.9e607b14-c15f-11e3-50a2-000c29dc13a5/160/0
Apr 16 04:11:58 trinculo named[19275]: samba_dlz: allowing update of signer=equinox\$\@BS.LINET-SERVICES.DE name=equinox.bs.linet-services.de tcpaddr= type=AAAA key=1160-ms-7.247-1816e6ed.9e607b14-c15f-11e3-50a2-000c29dc13a5/160/0
Apr 16 04:11:58 trinculo named[19275]: samba_dlz: allowing update of signer=equinox\$\@BS.LINET-SERVICES.DE name=equinox.bs.linet-services.de tcpaddr= type=AAAA key=1160-ms-7.247-1816e6ed.9e607b14-c15f-11e3-50a2-000c29dc13a5/160/0
Apr 16 04:11:58 trinculo named[19275]: samba_dlz: allowing update of signer=equinox\$\@BS.LINET-SERVICES.DE name=equinox.bs.linet-services.de tcpaddr= type=A key=1160-ms-7.247-1816e6ed.9e607b14-c15f-11e3-50a2-000c29dc13a5/160/0
Apr 16 04:11:58 trinculo named[19275]: client 10.199.93.20#57491: updating zone 'bs.linet-services.de/NONE': deleting rrset at 'equinox.bs.linet-services.de' AAAA
Apr 16 04:11:58 trinculo named[19275]: samba_dlz: cancelling transaction on zone bs.linet-services.de

(Unter der Annahme, dass »cancelling transaction« am Ende trotzdem Erfolg bedeutet)
Comment 1 Moritz Bunkus 2014-04-17 13:03:06 CEST 
Ups, equinox ist ein Windows-2008-Server; der 2012er Server darf ebenfalls nicht aktualisieren.
Comment 2 Stefan Gohmann univentionstaff 2014-04-30 14:26:36 CEST 
Ich glaube nicht, dass das ein generisches Problem ist. Für eine Analyse besser das Forum oder den Support verwenden.

Vermutlich sind die DNS Objekte mit einem administrativem Account angelegt worden und dürfen deshalb nicht überschrieben werden. Ansonsten Uhrzeit, Kerberos Server usw. prüfen.
First Last Prev Next    This bug is not in your last search results.