Да вроде на православном пишет, что апдейт зоны запрещен с этого адреса.

Смотри настройки днс сервера на предмет grant update с нужных адресов

Потому что домен ela.ra
В этом проблема

1. /etc/bind/named.conf.options

cat /etc/bind/named.conf.options

Глобальные настройки

options { auth-nxdomain yes; directory «/var/cache/bind»; # Папка с кешем bind dnssec-validation no; recursion yes; listen-on { 127.0.0.1; 192.168.10.30; }; listen-on-v6 { none; }; notify yes; empty-zones-enable no;

Указываем ключи для GSS-TSIG, используемые для обновлений

tkey-gssapi-keytab «/var/lib/samba/private/dns.keytab»; # Файл с ключами TSIG

minimal-responses yes;

IP адреса и подсети, от которых будут обрабатываться запросы

allow-query { 127.0.0.1; 192.168.10.0/24; 192.168.2.0/24; 192.168.130.0/24; };

IP адреса и подсети, от которых будут обрабатываться рекурсивные запросы

allow-recursion { 127.0.0.1; 192.168.10.0/24; 192.168.2.0/24; 192.168.130.0/24; };

Разрешение обновлений зоны через GSS-TSIG

allow-update { key «dns-key»; # Указание на ключ для обновлений };

Перенаправление запросов, на которые нет информации в локальной зоне, на форвардеры

forwarders { 77.88.8.8; # IP адрес DNS форвардера };

Запрет на трансфер зоны

allow-transfer { none; # IP адрес контроллера домена, на который разрешено передавать зоны }; };

2. /var/lib/samba/bind-dns/named.conf

cat /var/lib/samba/bind-dns/named.conf

This DNS configuration is for BIND 9.8.0 or later with dlz_dlopen support.

This file should be included in your main BIND configuration file

For example with

include «/var/lib/samba/bind-dns/named.conf»;

This configures dynamically loadable zones (DLZ) from AD schema

Uncomment only single database line, depending on your BIND version

dlz «AD DNS Zone» {

For BIND 9.8.x

database «dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9.so»;

For BIND 9.9.x

database «dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_9.so»;

For BIND 9.10.x

database «dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_10.so»;

For BIND 9.11.x

database «dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_11.so»;

For BIND 9.12.x

database «dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_12.so»;

For BIND 9.14.x

database «dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_14.so»;

For BIND 9.16.x

database «dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_16.so»;

For BIND 9.18.x

database «dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_18.so»; };

3. /etc/bind/named.conf

cat /etc/bind/named.conf

// This is the primary configuration file for the BIND DNS server named. // // Please read /usr/share/doc/bind9/README.Debian.gz for information on the // structure of BIND configuration files in Debian, BEFORE you customize // this configuration file. // // If you are just adding zones, please do that in /etc/bind/named.conf.local

include «/etc/bind/named.conf.options»; include «/etc/bind/named.conf.local»; include «/etc/bind/named.conf.default-zones»; include «/var/lib/samba/bind-dns/named.conf»;

А так же права доступа:

1. /etc/krb5.conf

ls -l /etc/krb5.conf

-rw-r–r– 1 root bind 496 Nov 24 01:15 /etc/krb5.conf

2. /var/lib/samba/bind-dns

ls -l /var/lib/samba/bind-dns

total 16 drwxrwx— 3 root bind 4096 Dec 6 22:34 dns -rw-r—– 2 bind bind 271 Nov 25 17:49 dns.keytab -rw-r–r– 1 root root 1194 Dec 6 22:34 named.conf -rw-r–r– 1 root root 2051 Dec 6 22:34 named.txt

Предоставьте версию bind

named -v

BIND 9.18.28-0ubuntu0.22.04.1-Ubuntu (Extended Support Version)

samba-dc

samba –version

Version 4.15.13-Ubuntu

операционной системы

Ubuntu 22.04.5 LTS

зоны то указаны

Не понял, откуда берете «ela.ra» ?

Во-первых, если подсетей больше 3-х, для удобства я бы рекомендовал вынести их в отдельный файл, например /etc/bind/named.conf.acl и подключить его в /etc/bind/named.conf

На примере как у меня

cat /etc/bind/named.conf.acl
acl local_net {
	172.16.3.0/27;
	172.16.3.32/27;
	172.16.3.64/27;
	172.16.3.96/27;
	172.16.222.248/29;
};

Подключенный файл с подсетками

cat /etc/bind/named.conf

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.acl";
include "/etc/bind/named.conf.default-zones";
include "/var/lib/samba/bind-dns/named.conf";

Ну и тулишь теперь local_net в опшены

cat /etc/bind/named.conf.options
options {
	auth-nxdomain yes;
	directory "/var/cache/bind"; #Папка с кешем bind
	notify no;
	empty-zones-enable no;
	tkey-gssapi-keytab "/var/lib/samba/private/dns.keytab";
	minimal-responses yes;

	listen-on port 53 {
		172.16.222.254;
	};

	# IP адреса и подсети от которых будут обрабатываться запросы
	allow-query {
		127.0.0.1;
		local_net;
	};

	# IP адреса и подсети от которых будут обрабатываться рекурсивные запросы
	# (Зон не обслуживаемых этим DNS сервером)
	allow-recursion {
		127.0.0.1;
		local_net;
	};

	# Перенаправлять запросы, на которые нет информации в локальной зоне
	# на следующие сервера:
	forwarders {
		172.16.3.1; #IP адрес DNS форвардера
	};

У меня форвард в опшенах один, так как он на пограничном маршрутизаторе и на нём уже форвардов больше, а так я бы рекомендовал не только яндекс в твой форвард прописать, но и ещё пару публичных DNS добавить.

Во-вторых почему у тебя в /var/lib/samba/bind-dns/named.conf все версии бинда включены?
named -v какая у тебя версия…? 9.18 вижу. Вот только её и оставь.

Мой пример (закомментировано всё, кроме 9.18)

named -v
BIND 9.18.28-1~deb12u2-Debian (Extended Support Version) <id:>

cat /var/lib/samba/bind-dns/named.conf
dlz "AD DNS Zone" {
    # For BIND 9.8.x
    # database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9.so";

    # For BIND 9.9.x
    # database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_9.so";

    # For BIND 9.10.x
    # database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_10.so";

    # For BIND 9.11.x
    # database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_11.so";

    # For BIND 9.12.x
    # database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_12.so";

    # For BIND 9.14.x
    # database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_14.so";

    # For BIND 9.16.x
    # database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_16.so";
    #
    # For BIND 9.18.x
     database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_18.so";
};

Ну и вишенка на торте. Я с подобной проблемой как-то тоже бился пару дней, пока не стал читать про каждый параметр в опшенах. В общем измени в /etc/bind/named.conf.options параметр dnssec-validation с no на yes и это должно осчастливить тебя и твой контроллер…=)

Не помню как точно, но вроде как резолверу надо указать проверять корректность ответов из подписанных зон. В общем я давно на решение наткнулся, применил и забыл.

Спасибо, учту, буду смотреть и пробовать. Результат выложу.

«Во-вторых почему у тебя в /var/lib/samba/bind-dns/named.conf все версии бинда включены? named -v какая у тебя версия…? 9.18 вижу. Вот только её и оставь»

Здесь нужна версия раскоменчена. Не помню почему в таком виде залетело сюда как раскоменченные версии всех версий.

Все перепробовал, результат неизменен, есть один момент, мне он непонятен: «Jan 4 17:55:46 dc2 named[1681]: client @0x7f25813259d8 192.168.2.124#61834: update ‘domain.loc/IN’ denied Jan 4 17:55:48 dc2 named[1681]: client @0x7f2578020e98 192.168.2.124#53543: update ‘domain.loc/IN’ denied Jan 4 17:55:49 dc2 named[1681]: client @0x7f25813259d8 192.168.2.124#60040: update ‘domain.loc/IN’ denied Jan 4 17:55:51 dc2 named[1681]: client @0x7f25813259d8 192.168.2.124#50591: update ‘domain.loc/IN’ denied»

Здесь 192.168.2.124 не может обновиться, в то же время в оснастке DNS нет вообще никакой записи об этом IP.

DHCP вынесен на сетевое оборудование.