none
DNS-Replikation von Windows AD repliziert in AXFR keine DS-Records bei Delegierungen RRS feed

  • Frage

  • Hallo,

    wir setzen einen Windows Server 2016 als DC für unsere Domain ein, und wollen die dort gehostete AD-Zone jetzt auf einen separaten Nameserver (PowerDNS) replizieren (PowerDNS als DNS-Slave), um dort die Zone für die tatsächliche Verfügbarmachung noch einmal bearbeiten zu können.

    Das geht auch grundsätzlich soweit problemlos, sprich: der PowerDNS darf die Zone nach Einstellung slaven, tut das auch, und liefert sie selbst (in leicht geänderter Form) wieder aus, allerdings werden bestimmte Records innerhalb der Zone nicht repliziert. Konkret betrifft das DS-Records, die in einer Delegierung angelegt sind:

    Und im Replikat (AXFR) dann nur die eigentliche NS-Delegation:

    und keine Spur von den DS-Records. Ich habe dieses Beispiel jetzt mit der _msdcs-Zone gemacht, allerdings trifft das auch auf andere Delegierungen zu, bei denen ich DS-Records eingetragen habe.

    Die Records habe ich sowohl über manuelle Anlage als auch über Import-DnsServerResourceRecordDS angelegt, das macht aber augenscheinlich keinen Unterschied. In beiden Fällen kann ich die Records zwar abrufen (also, über nslookup/dig auf den DC), aber im Zonen-Transfer sind sie nicht enthalten. Und: es ist auch egal, ob ich Bind-Sekundärzonen aktiviere oder nicht (also, das Server-Flag).

    Ist das ein bekanntes Problem? Kann ich da was dran machen? Ich kann die Records natürlich beim Zonen-Transfer injizieren, aber ich würde gerne möglichst viel Magie bei der Nachbearbeitung der Zone über den PowerDNS vermeiden, weshalb ich gehofft hatte, dass ich die Records direkt im Windows DNS anlegen kann.

    Vielen Dank für eine Rückmeldung!

    PS: welches Forum wäre vergleichbar im englischen Technet? Ich habe da gar nichts zu Active Directory gefunden, hätte sonst da auch noch mal die selbe Frage (natürlich auf Englisch) gestellt.

    Mittwoch, 12. August 2020 07:06

Alle Antworten

  • Da die Bilder nicht enthalten sind, hier noch mal als Text:

    PS C:\Users\heiko.wundram\Downloads> Get-DnsServerResourceRecord -zonename id.gehrkens.it -rrtype DS

    HostName                  RecordType Type       Timestamp            TimeToLive      RecordData
    --------                  ---------- ----       ---------            ----------      ----------
    _msdcs                    DS         43         0                    01:00:00        [16960][Sha384][RsaSha256]
    _msdcs                    DS         43         0                    01:00:00        [16960][Sha256][RsaSha256]
    _msdcs                    DS         43         0                    01:00:00        [16960][Sha1][RsaSha256]

    (erstes Bild, also Records sind angelegt) und:

    heiko.wundram@dnsint-1:~$ dig +dnssec @xxxx AXFR id.gehrkens.it

    ; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> +dnssec @fdb8:73da:6fd9:1bb2:215:5dff:fe65:9500 AXFR id.gehrkens.it
    ; (1 server found)
    ;; global options: +cmd
    id.gehrkens.it.         3600    IN      SOA     dc2016-01.id.gehrkens.it. hostmaster.id.gehrkens.it. 119210 900 600 86400 3600

    ...

    id.gehrkens.it.         600     IN      AAAA    xxxx
    _msdcs.id.gehrkens.it.  3600    IN      NS      dc2016-01.id.gehrkens.it.
    _gc._tcp.b\195\188ro._sites.id.gehrkens.it. 600 IN SRV 0 100 3268 dc2016-01.id.gehrkens.it.

    (das Replikat), also nur der NS-Record, aber keine DS-Records der Delegation im AXFR.

    Mittwoch, 12. August 2020 07:09