Hallo Michael,
die Server Adresse als Nameserver in der OPNsense macht Sinn, weil sonst das Single-Sign-On nicht funktioniert. Da muß der Name des Servers in der LDAP Konfiguration aufgelöst werden. Ebenso könntest Du sonst keine Hostnamen unter Firewall - Aliase - NoProxy eintragen etc.
Ich habe folgende Einstellungen:
root@firewall:~ # cat /etc/resolv.conf
domain linuxmuster.lan
nameserver 10.0.0.1root@server:~# cat /etc/resolv.conf
# created by linuxmuster-setup 2020-07-22 14:44:06
search linuxmuster.lan
nameserver 10.0.0.1root@server:~# grep dns /etc/samba/smb.conf
dns forwarder = 10.0.0.254Heißt, die OPNsense frägt für eigene Abfragen den Server. Dieser nutzt für Hosts, welcher er nicht selber auflösen kann den Unbound DNS der OPNsense.
Mit diesen Einstellungen funktioniert auch die Kerberos Abfrage der OPNsense zuverlässig und nicht zufällig. D.h. Unter Dienste - WebProxy - Single Sign-On - Kerberos Authentifizierung sind immer alle Haken grün und nicht wechselnd manchmal.
Viele Grüße
Klaus