Seit einiger Zeit wird der Bind9 unter Ubuntu-Server 16.04, mit apparmor abgesichert. Wenn Sie jetzt einen Samba-ADDC mit Bind9 einrichten, müssen Sie die Konfigurationsdatei /etc/apparmor.d/usr.sbin.named wie folgt anpassen:

vi /etc/apparmor.d/usr.sbin.named

	  /etc/bind/** r,

	  /var/lib/bind/** rw,

          /var/lib/bind/ rw,

	  /var/cache/bind/** lrw,

	  /var/cache/bind/ rw,

	  /var/lib/samba/private/** rwmk,

          /usr/lib/x86_64-linux-gnu/** rwmk,

          /dev/urandom rwmk,

Anschließend müssen Sie den Dienst neu starten.
Ich habe die Einträge der Datei etwas anpassen müssen, weil die Zugriffsrechte für den Bind9 seit einiger Zeit noch etwas restriktiver gehandhabt werden. Es reicht nicht mehr aus das Verzeichnis /var/lib/samba/private/** freizugeben.