Aufgabe:

Erstelle eine neue DNS-Infrastruktur mit PowerDNS und Kea als DHCP-Server. In der DNS-Zone des PowerDNS sollen alle Clients und Fileserver eingetragen werden. Die Clients natürlich dynamisch vom DHCP-Server. Die Samba-Domaincontroller sollen sich in einer eigenen DNS-Zone befinden. Also ungefähr so:

Client= client01.example.net (192.168.58.0/24)
||
||
Eintrag dynamisch im DNS mit PowerDNS
||
||
192.168.58.200
DNS-Proxy (kennt beide Zonen)
192.168.56.200
||
||
DC=dc01.sambaad.net (192.168.56.0/24)
||
||
DCs im Internen DNS von Samba

Alle NICHT Domaincontroller sollen PowerDNS nutzen, auch für die Auflösung der SRV-Records.

Der PowerDNS selbst kann kein Forwarding, dafür wird er powerdns-recursor benötigt. Mit einer eigene Konfigurationsdatei. Die, wie sollte es auch anders sein, von Version zu Version unterschiedlich befüllt werden will.

Hier bei mir kommt Debian 13 zum Einsatz und somit die Version 5.2.8 vom Recursor. Die Konfiguration wird jetzt im YAML-Format erwartet. Na dann mal los, gibt ja Beispiele im Netz. Wie man einen DNS-Proxy aufsetzt habe ich ja schon oft genug mit Bind9 gemacht, kann ja nicht so viel anders sein. OHHHHH DOCH! Kann es!

Ergebnis:
Die Konfiguration des Recursors auf den DNS-Servern in der Zone example.net:

incoming:
listen:
– 0.0.0.0:53
allow_from:
– 127.0.0.0/8
– 192.168.58.0/24
– 192.168.56.0/24
recursor:
forward_zones:
– zone: „example.net“
forwarders:
– 127.0.0.1:5300
– zone: „58.168.192.in-addr.arpa“
forwarders:
– 127.0.0.1:5300
forward_zones_recurse:
– zone: „sambaad.net“
forwarders:
– 192.168.58.200:53
– zone: „56.168.192.in-addr.arpa“
forwarders:
– 192.168.58.200:53

#  forward_zones_recurse:
#    – zone: „.“
#      forwarders:
#        – 8.8.8.8
#        – 1.1.1.1

dnssec:
validation: process-no-validate

Das Forwarding ins Internet soll auch nur über den DNSproxy gehen, daher ist das hier auskommentiert.

Jetzt das Forwarding auf dem DNS-Proxy:

 # Netzwerk-Einstellungen
incoming:
listen:
– 0.0.0.0:53
allow_from:
– 127.0.0.0/8
– 192.168.56.0/24
– 192.168.58.0/24
recursor:
# Globaler Forwarder für das Internet
#  forward_zones:

# Vorwärts- und Rückwärts-Zonen
forward_zones_recurse:
– zone: .
forwarders:
– 8.8.8.8
– 8.8.4.4

# Domäne 1
– zone: sambaad.net
forwarders:
– 192.168.56.101
– zone: 56.168.192.in-addr.arpa
forwarders:
– 192.168.56.101

# Domäne 2
– zone: example.net
forwarders:
– 192.168.58.33
– 192.168.58.34
– zone: 58.168.192.in-addr.arpa
forwarders:
– 192.168.58.33
– 192.168.58.34

recordcache:
max_entries: 500000

packetcache:
max_entries: 200000
dnssec:
validation: process-no-validate

Wichtig!
dnssec muss unbedingt deaktiviert sein, da Active Directory Domänen das nicht unterstützen.

Auf dem PowerDNS-Server sind die eigenen Zonen, als example.net und 58.168.192.in-addr.arpa als „forward_zone“ eingetragen. Das heißt, die Anfragen werden „iterativ“ abgearbeitet. Der DNS-Server ist auch selbst für die Zonen verantwortlich und ist somit die „Authority“ für die Domäne.

Anders sieht es bei der Zone „sambaad.net“ und 56.168.192.in-addr-arpa“ aus, da ist er nicht die „Authority“ kann also nur recursive Anfragen stellen. Aus dem Grund steht vor den Zonen auch „forward_zones_recurse“

Im Samba Domaincontroller selber, wird nur der Forwarder in der smb.conf eingetragen mit „forwarders = 192.168.56.200“.

Schon klappt es mit dem forwarding.

Die Auflösung der SRV-Records von einem Client aus der Zone example.net in die Zone sambaad.net klappt. Somit können die Clients aus der Zone example.net jetzt in die Samba-Domäne „sambaad“ aufgenommen werden.
Die gesamte Verwaltung der Clients und Fileserver für DNS findet jetzt Zentral statt. Sind mehrere Standorte vorhanden, kann das natürlich auch mehrfach mit unterschiedlichen Zonen eingerichtet werden.