resolvendo problemas de DNS por trás do firewall no OS X Server

Question

resolvendo problemas de DNS por trás do firewall no OS X Server

#1 resposta do (1 votos)

1

Eu tenho um problema que recentemente quebrou o single sign-on com nossos clientes Mac (10,5 & 10,6) para um OS X Server (10,5). os hosts parecem resolver em clientes & server forward & marcha ré. subnet está por trás do firewall e usando 10.0.1.xxx.

testes preliminares com o nslookup parecem estar ok.

existem outros testes / ferramentas que eu poderia estar usando. Sites de teste de DNS externo não ajudarão, já que isso está por trás de um firewall ...

obrigado

EDIT: Aqui está o que eu fiz para quebrar as coisas ... Eu manualmente removi o bloco de código abaixo para a zona 0.0.10.in-addr.arpa. Eu não tenho 10.0.0.xxx sub-rede e ServerAdmin irritantemente mantido adicionando-o. Sem outra maneira de me livrar disso, eu segui o conselho de este tópico . Eu acho que a minha pergunta agora é que o OS X Server requer 10.0.0.xxx por algum motivo? para o Kerberos? OD? Rede ainda vaga embora recebendo relatórios de que alguns serviços estão funcionando agora! Ah DNS, como eu te amo ....

server:/etc/dns me$ more publicView.conf.apple
acl "com.apple.ServerAdmin.DNS.public" {localnets;};

//
// This is the view that is shown in Server Admin
// This is an automatically generated file.
// PLEASE DO NOT MANUALLY MODIFY THIS FILE!
// Please make your changes in the named.conf file
//

view "com.apple.ServerAdmin.DNS.public" {
//GUID=A37562D4-E056-2DA7-B4AD-3C4973C63824;

        allow-recursion {"com.apple.ServerAdmin.DNS.public";};

        zone "0.0.10.in-addr.arpa." {
                type master;
                file "db.0.0.10.in-addr.arpa.";
                allow-transfer {none;};
                allow-update {none;};
        };


        zone "domain1.com." {
                type master;
                file "db.domain1.com.";
                allow-transfer {none;};
                allow-update {none;};
        };


        zone "1.0.10.in-addr.arpa." {
                type master;
                file "db.1.0.10.in-addr.arpa.";
                allow-transfer {none;};
                allow-update {none;};
        };


        zone "domain2.com." {
                type master;
                file "db.domain2.com.";
                allow-transfer {none;};
                allow-update {none;};
        };

        zone "." {
                type hint;
                file "named.ca";
        };
        zone "localhost" IN {
                type master;
                file "localhost.zone";
                allow-update { none; };
        };

        zone "0.0.127.in-addr.arpa" IN {
                type master;
                file "named.local";
                allow-update { none; };
        };

};

domain-name-system mac-osx mac-osx-server opendirectory

por Meltemi 04.09.2009 / 02:26

1 resposta

Tags domain-name-system mac-osx mac-osx-server opendirectory

301 Redirect Question - quantos são muitos e para onde devem ir? Ajuda de proxy upstream!

score 1 · Answer 1

O Kerberos é exigente com o Leopard e o SSO. Para verificar sua configuração de DNS, execute alguns dos seguintes procedimentos com a ferramenta dig

Assegure-se de que seu servidor master do OD esteja resolvido corretamente dig <od.master.fqdn>

Pegue a resposta IP da pergunta anterior e conecte-a aqui dig -x <IP> ela deve resolver para o FQDN do seu servidor OD

Terceiro, verifique se a seção de autoridade das duas perguntas acima tem todos os seus servidores DNS listados

Por fim, insira seu cliente para fazer login, para garantir que as respostas de encaminhamento e reversão estejam corretas. (dig == encaminhar dig -x == reverse)

Se tudo estiver correto, verifique se o kerberos está funcionando. Vá para ServerAdmin- > OpenDirectory- > Visão geral. Se o Kerberos não estiver em execução, inicie-o executando.

launchctl load /System/Library/LaunchDaemons/edu.mit.Kerberos.krb5kdc.plist

Clique em Atualizar no Server Admin, se o Kerberos ainda não estiver em execução, em seguida, tail -f /var/log/krb5kdc/kdc.log durante a execução do comando launchctl acima. Isso deve lhe dar mais algumas informações sobre o motivo pelo qual o Kerberos não está sendo executado.

Sem mais detalhes de sua parte, isso é tudo que posso lhe dar.