В bind не создалась a-запись для ns.domain.dom и он не запускался ( и поэтому не запускался ipa).
После добавления записи все заработало.
Да нет, не все заработало :)
Клиенты не вводились в домен.
Переустановил FreeIPA сервер, добился чтобы не было ошибок в конце инсталляции на этапе интеграции с bind (перед очередной установкой FreeIPA после деинсталляциии (ipa-server-install --uninstall) взял и удалил bind (--purge) и заново поставил. Прошло без ошибок.
Вввел пару клиентов в домен.
Теперь с чем еще столкнулся:
Не могу настроить zone forwarding.
ipa dnsforwardzone-add my-ad-domain.ru. --forwarder=10.10.10.15 --forward-policy=only
Server will check DNS forwarder(s).
This may take some time, please wait ...
ipa: ERROR: DNS check for domain my-ad-domain.ru. failed: All nameservers failed to answer the query my-ad-domain.ru. IN SOA: Server 127.0.0.1 UDP port 53 answered The DNS operation timed out.; Server 127.0.0.1 UDP port 53 answered The DNS operation timed out.; Server 127.0.0.1 UDP port 53 answered The DNS operation timed out.; Server 127.0.0.1 UDP port 53 answered The DNS operation timed out.; Server 127.0.0.1 UDP port 53 answered SERVFAIL.
dig при этом отрабатывает
dig @10.10.10.15 my-ad-domain.ru. SOA
; <<>> DiG 9.10.6 <<>> @10.10.10.15 my-ad-domain.ru. SOA
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2950
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;my-ad-domain.ru. IN SOA
;; ANSWER SECTION:
vst-rmp.ru. 3600 IN SOA dc01.my-ad-domain.ru. hostmaster.my-ad-domain.ru. 2952 900 600 86400 3600
;; ADDITIONAL SECTION:
dc01.my-ad-domain.ru. 3600 IN A 10.10.10.15
;; Query time: 0 msec
;; SERVER: 10.10.10.15#53(10.10.10.15)
;; WHEN: Thu May 10 12:04:22 +10 2018
;; MSG SIZE rcvd: 115
Если добавляю запись напрямую в bind в файл local.conf:
zone "my-ad-domain.ru" {
type forward;
forwarders { 10.10.10.15; };
};
То все прекрасно работает.
Почему-то FreeIPA, вместо того, чтобы обращаться к forwarder, пытается зону заресолвить через корневые серверы
(k.root-servers.net и т.п.), хотя указана опция --forward-policy=only
Сильно умный что-ли? видит корневую зону .ru в my-ad-domain.ru и сразу отправляет к корневым серверам?
Кстати, не выпущен IPA tcp/udp 53 наружу (не может обратиться к корневым серверам).
И при установке ipa-server-install forwarders не были указаны.
Спойлер
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:500:1::53#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:500:1::53#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: host unreachable resolving 'my-ad-domain.ru/SOA/IN': 192.33.4.12#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:500:a8::e#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:7fd::1#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:503:c27::2:30#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:500:a8::e#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:7fd::1#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:503:c27::2:30#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:7fe::53#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:500:9f::42#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: host unreachable resolving './NS/IN': 198.41.0.4#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:7fe::53#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:500:9f::42#53
May 10 12:32:37 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:500:2f::f#53
May 10 12:32:37 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:500:2d::d#53
May 10 12:32:37 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:500:12::d0d#53
May 10 12:32:37 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:500:2f::f#53
May 10 12:32:37 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:500:2d::d#53
May 10 12:32:37 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:500:12::d0d#53
May 10 12:32:37 ipa01.ipadom.dom named[11101]: host unreachable resolving 'my-ad-domain.ru/SOA/IN': 192.228.79.201#53
May 10 12:32:38 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:500:2::c#53
May 10 12:32:39 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:500:2::c#53
May 10 12:32:39 ipa01.ipadom.dom named[11101]: host unreachable resolving './NS/IN': 192.203.230.10#53
May 10 12:32:40 ipa01.ipadom.dom named[11101]: host unreachable resolving 'my-ad-domain.ru/SOA/IN': 192.58.128.30#53
May 10 12:32:40 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:503:ba3e::2:30#53
May 10 12:32:40 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:503:ba3e::2:30#53
May 10 12:32:41 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:dc3::35#53
May 10 12:32:42 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:dc3::35#53
May 10 12:32:43 ipa01.ipadom.dom named[11101]: host unreachable resolving 'my-ad-domain.ru/SOA/IN': 192.112.36.4#53
May 10 12:32:43 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:500:200::b#53
May 10 12:32:44 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:500:200::b#53
May 10 12:32:44 ipa01.ipadom.dom named[11101]: host unreachable resolving './NS/IN': 198.97.190.53#53
May 10 12:32:45 ipa01.ipadom.dom named[11101]: host unreachable resolving './NS/IN': 193.0.14.129#53