Суть вопроса:
есть в локалке (192.168.0.*) DNS+DHCPD на FreeBSD. Есть котроллер домена + AD на w2k3 (со статическим IP). На DNS сервере есть прямая и обратная зона:обратная:
$ORIGIN .
$TTL 86400 ; 1 day
0.168.192.in-addr.arpa IN SOA shluz.chancei.local. cad2206.yandex.ru. (
2007110913 ; serial
86400 ; refresh (1 day)
7200 ; retry (2 hours)
8640000 ; expire (14 weeks 2 days)
86400 ; minimum (1 day)
)
NS shluz.chancei.local. //DNS сервер
$ORIGIN 0.168.192.in-addr.arpa.
$TTL 360000 ; 4 days 4 hours
//здесь адреса клиентов
$TTL 302400 ; 3 days 12 hours
3 PTR OServer.chancei.local. //контроллер доменапрямая:
$ORIGIN .
$TTL 86400 ; 1 day
chancei.local IN SOA shluz.chancei.local. cad2206.yandex.ru. (
2007112941 ; serial
86400 ; refresh (1 day)
7200 ; retry (2 hours)
8640000 ; expire (14 weeks 2 days)
86400 ; minimum (1 day)
)
NS shluz.chancei.local.
A 192.168.0.3
$ORIGIN chancei.local.
$TTL 360000 ; 4 days 4 hours
//здесь адреса клиентов
$TTL 302400 ; 3 days 12 hours
OServer A 192.168.0.3 //контроллер доменаВсе работает нормально. Но появилась необходимость поставить дочерний контроллер домена (тоже на w2k3 (со статическим IP)), скажем auto.chancei.local (имена машин в нем соответственно: имя.auto.chancei.local).
естественно при попытке тупо подключить его как дочерний к основному привели к сообщению (на сервере w2k3):
не удалось связаться с контроллером домена AD для домена chancei.local. Ошибка при запросе DNS записи ресурса размещения службы (SRV), используемой для поиска контроллера домена для домена chancei.local:
Произошла ошибка: "DNS-имя не существует."
(код ошибки: 0x0000232B RCODE_NAME_ERROR)Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.chancei.local
Возможны следующие причины ошибки:
- SRV-записи DNS, необходимые для поиска контроллера домена в этом домене, не зарегистрированы в службе DNS. Такие записи регистрируются на DNS-сервере автоматически при добавлении контроллера домена в домен. Они обновляются контроллером домена через заданные интервалы. Этот компьютер настроен на использование DNS-серверов со следующими IP-адресами:
192.168.0.1
- Одна или несколько зон из указанных ниже не включают делегирование своим дочерним зонам:
chancei.local
local
. (корневая зона)
Полагаю что на DNS сервере нужно заводить зону auto.chancei.local... а вот что в ней должно быть? или еще что нужно?
заранее благодарен
>[оверквотинг удален]
>дочерним зонам:
>
>chancei.local
>local
>. (корневая зона)
>
>
>Полагаю что на DNS сервере нужно заводить зону auto.chancei.local... а вот что
>в ней должно быть? или еще что нужно?
>заранее благодаренвообще этот вопрос к винде больше относится ,
а так вопросы такие :
1. вы виндовый сервер создавали как вторичный ?
2. первичному сказали что у него будет вторичный днс и ему можно забирать обновления зон
3. зоный создавали на вторичном.
4. вообще опишите поподробнее.
5. если не знаете как в bind настраивать нужно конфиг named.conf увидеть !
зы у вас вообще на freeBSD какой нс используеться ?
Есть статья у MS: Configuring Berkeley Internet Name Domain (BIND) to Support Active Directory
http://www.microsoft.com/technet/archive/interopmigration/li...Скорее всего проблема в том, что в BIND требуется добавить дополнительные записи, которые используются в окружении AD.
А вообще непнятно как это AD живет без этих записей. :(
1. вы виндовый сервер создавали как вторичный ?
2. первичному сказали что у него будет вторичный днс и ему можно забирать обновления зон
3. зоный создавали на вторичном.
4. вообще опишите поподробнее.
5. если не знаете как в bind настраивать нужно конфиг named.conf увидеть !1. если имеется ввиду вторичный ДНС, то нет (ДНС один, на FreeBSD).
2. нетребуется, т.к. ДНС нужен только одинконфиг named.conf:
options {
directory "/etc/namedb";
pid-file "/var/run/named/named.pid";
dump-file "/var/run/named/named.dump";
statistics-file "/var/run/named/named.stat";
forwarders {
85.249.118.18; 85.249.118.66; //DNS провайдера
};
query-source address * port 53;
};controls {};
key DHCP_UPDATER {
algorithm hmac-md5;
secret u4VYs0rLfuxJqzlQkKQpyw==;
};logging {
channel update_debug {
file "/var/log/named-update.log";
severity debug 10;
print-category yes;
print-severity yes;
print-time yes;
};
channel security_info {
file "/var/log/named-auth.log";
severity info;
print-category yes;
print-severity yes;
print-time yes;
};
category update { update_debug; };
category security { security_info; };
category notify {update_debug; };
category dnssec {update_debug; };
};zone "." {
type hint;
file "named.root";
};zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "master/localhost.rev";
notify no;
};//прямая зона
zone "chancei.local" {
type master;
file "master/chancei.local";
allow-update { key DHCP_UPDATER; };
};//обратная
zone "0.168.192.in-addr.arpa" {
type master;
file "master/192.168.0.rev";
allow-update { key DHCP_UPDATER; };
};
Скорее всего проблема в том, что в BIND требуется добавить дополнительные записи, которые используются в окружении AD.вот и я так думаю, только как, незнаю..
>Скорее всего проблема в том, что в BIND требуется добавить дополнительные записи,
>которые используются в окружении AD.
>
>вот и я так думаю, только как, незнаю..А не проще было бы держать данную зону на контроллере домена, он бы сам все что нужно прописал бы, а на фрю просто зону делегировать чтобы все записа такжы присутствовали. DHCP так же можно разместить на контроллере, я думаю так было бы удобнее и гемор сам собой бы отпал.
И пусть себе winda за локалку отвечает, а в настройках DNS сервера контроллера указать днс сервер фри для перенаправления запросов в случае если требуеться отрезолвить отличные от локального домены.
>А не проще было бы держать данную зону на контроллере домена, он
>бы сам все что нужно прописал бы, а на фрю просто
>зону делегировать чтобы все записа такжы присутствовали. DHCP так же можно
>разместить на контроллере, я думаю так было бы удобнее и гемор
>сам собой бы отпал.
>И пусть себе winda за локалку отвечает, а в настройках DNS сервера
>контроллера указать днс сервер фри для перенаправления запросов в случае если
>требуеться отрезолвить отличные от локального домены.да собственно раньше так все и было, но пришлось ДНС и DHCP перенести на шлюз (FreeBSD). Так как сервак загружен сильно. назад ой как не хочется
>[оверквотинг удален]
>>зону делегировать чтобы все записа такжы присутствовали. DHCP так же можно
>>разместить на контроллере, я думаю так было бы удобнее и гемор
>>сам собой бы отпал.
>>И пусть себе winda за локалку отвечает, а в настройках DNS сервера
>>контроллера указать днс сервер фри для перенаправления запросов в случае если
>>требуеться отрезолвить отличные от локального домены.
>
>да собственно раньше так все и было, но пришлось ДНС и DHCP
>перенести на шлюз (FreeBSD). Так как сервак загружен сильно. назад ой
>как не хочетсяДля упрощения геморроя, я в подобном случае указал виндовому DNS место хранения конфигурации - файл, перетянул этот файл в bind с небольшой правкой (не забудьте еще man bind на предмет параметра для нестандартных по rfc записей для AD-зоны) и остановил сервис на винде. Все живет мирно и дружно уже несколько лет.
>1. если имеется ввиду вторичный ДНС, то нет (ДНС один, на FreeBSD).
>тогда может просче образ снять и перенастроить !
>2. нетребуется, т.к. ДНС нужен только один
>это не правильное решение должны быть 2 днс сервера по рфц
>[оверквотинг удален]
>};
>};
>
>//обратная
>zone "0.168.192.in-addr.arpa" {
> type master;
> file "master/192.168.0.rev";
> allow-update { key DHCP_UPDATER;
>};
>};по поводу конфига
попробуйте прописать !
allow-transfer { ip_new_ns_server;localhost; };
и пытайтесь забрать на виндовом!
>[оверквотинг удален]
>> file "master/192.168.0.rev";
>> allow-update { key DHCP_UPDATER;
>>};
>>};
>
>по поводу конфига
>
>попробуйте прописать !
>allow-transfer { ip_new_ns_server;localhost; };
>и пытайтесь забрать на виндовом!В таком виде когда виндовая сетка с AD использует внешний (на FreeBSD) dns сервер - уже не правильное решение, как раз и приводящее к таким как минимум проблемам (в дальнейшем возникнут еще большие). Вы изначально строите дом на песке без фундамента. :-)
PS:Мухи должны быть отдельно, котлеты отдельно.
>[оверквотинг удален]
>> file "master/192.168.0.rev";
>> allow-update { key DHCP_UPDATER;
>>};
>>};
>
>по поводу конфига
>
>попробуйте прописать !
>allow-transfer { ip_new_ns_server;localhost; };
>и пытайтесь забрать на виндовом!mario, можно поподробнее. allow-transfer вместо allow-update нужно прописать? ip_new_ns_server - адрес второго АД?
>mario, можно поподробнее. allow-transfer вместо allow-update нужно прописать? ip_new_ns_server - адрес второго
>АД?alow-transfer{адрес второго(windnsserver);localhost}ниже allow-update !
>alow-transfer{адрес второго(windnsserver);localhost}ниже allow-update !так нет ведь в сетке второго DNS сервера...
>>alow-transfer{адрес второго(windnsserver);localhost}ниже allow-update !
>
>так нет ведь в сетке второго DNS сервера...так а зоны слевать как вы собрались вы же новый хотите или как ?
я что то вас вообще не пойму что вы делаете !
>>alow-transfer{адрес второго(windnsserver);localhost}ниже allow-update !
>
>так нет ведь в сетке второго DNS сервера...Для начало в прямой зоне пропишите возможность обновления зоны вашим DC, а именно тем который уже есть, именно по долбанным записям типа _.... w2k3 и XP ищут в сетке домен-контроллеры
allow-update { <ip домен-контроллера > };
При этом не забудьте перезапустить netlogon на контроллере домена, чтобы эти записи появились, проще конечно надо было поднять DNS на контроллере домена и забрать зону с него и только потом подрихтовать Free.
Ну и кроме этого, не такую уж большую нагрузку дают эти сервисы на сам контроллер, ведбь его можно заставить разрешать внутренние имена, а внешние отдавать на Free...
>не удалось связаться с контроллером домена AD для домена chancei.local. Ошибка при
>запросе DNS записи ресурса размещения службы (SRV), используемой для поиска контроллера
>домена для домена chancei.local:
>
>Произошла ошибка: "DNS-имя не существует."
>(код ошибки: 0x0000232B RCODE_NAME_ERROR)
>
>Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.chancei.local
>
>...Извини, а где описание зоны _msdcs.chancei.local? вообще надо включить описание этой зоны с возможностью обновлять ее всем хостам в сети. И после этого на DC надо сделать перезапуск службы netlogon. тогда сервак сам обновит значение этой зоны. У меня работает.
Будут вопросы стучи в асю: 482235604
>[оверквотинг удален]
>>(код ошибки: 0x0000232B RCODE_NAME_ERROR)
>>
>>Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.chancei.local
>>
>>...
>
>Извини, а где описание зоны _msdcs.chancei.local? вообще надо включить описание этой зоны
>с возможностью обновлять ее всем хостам в сети. И после этого
>на DC надо сделать перезапуск службы netlogon. тогда сервак сам обновит
>значение этой зоны. У меня работает.Гм... Just IMHO. Если не желать бардака в сети, я бы не разрешал обновлять файл зоны, тем более - уж всем хостам. Теоретически, оно должно работать нормально, но у меня файл непрерывно разрастался - новые записи дописывались, а не заменялись. Давно это было, может, был глюк в bind-е, может, кривые запросы от виндовых клиентов, только с тех пор я винде подобные вещи не доверяю - все расписано руками по полочкам и dhcp, если использую, статиком прибиваю...
>Будут вопросы стучи в асю: 482235604
>Гм... Just IMHO. Если не желать бардака в сети, я бы не
>разрешал обновлять файл зоны, тем более - уж всем хостам. Теоретически,
>оно должно работать нормально, но у меня файл непрерывно разрастался -
>новые записи дописывались, а не заменялись. Давно это было, может, был
>глюк в bind-е, может, кривые запросы от виндовых клиентов, только с
>тех пор я винде подобные вещи не доверяю - все расписано
>руками по полочкам и dhcp, если использую, статиком прибиваю...
>Почему же всем хостам, только домен-контроллеру...
>[оверквотинг удален]
>>на DC надо сделать перезапуск службы netlogon. тогда сервак сам обновит
>>значение этой зоны. У меня работает.
>
>Гм... Just IMHO. Если не желать бардака в сети, я бы не
>разрешал обновлять файл зоны, тем более - уж всем хостам. Теоретически,
>оно должно работать нормально, но у меня файл непрерывно разрастался -
>новые записи дописывались, а не заменялись. Давно это было, может, был
>глюк в bind-е, может, кривые запросы от виндовых клиентов, только с
>тех пор я винде подобные вещи не доверяю - все расписано
>руками по полочкам и dhcp, если использую, статиком прибиваю...Извините, забыл указать "на время настройки". Конечно в последствии надо будет оставить только DHCP и DC. Я это брал не из головы, а с сайта майкрософт. Там подробно описывается как интегрировать bind в windows сети. И именно там написано, что требуется разрешить обновлять зону _msdcs.mydomain.* ВСЕМ.