Active Directory DNS beállitás

Linux-haladó

Sziasztok, a következő problémával szembesültem. Van egy debian szerver rajta egy KVM fut BIND/DHCP-vel, a szerveren virtualizálva van 2db Zentyal szerver AD-vel az egyik a master a másik pedig slave szerepkörben. A probléma ott kezdődik hogy amikor egy windows7 klienst szeretnék beléptetni a tartományba csak akkor tud belépni ha az alap szerveren lévő DNS szervert kikapcsolom, és akkor tud autentikálni a Zentyal master szerverről. Van valakinek ötlete hogy mit kellene beállítani.

  • 6616 megtekintés

( kallo | 2014. 02. 15., szo – 15:19 )

Van annak valami oka hogy nem a zentyal dns/dhcp akarod használni a klienseken? Ha már úgy is kettő van belőle.

Húha, vázolnád, a hálózatod, hogy jobban lássuk?
Mert most nekem úgy fest akkor 3(router,debian és zentyal) dhcp szerver van, pl. ha egy hálózaton vannak az nagy gond.
Először azt kéne tudni, hogy most milyen környezeted van és mit szeretnél. Arra törekedj hogy egy hálózatban csak egy dhcp szerver legyen, a tartományon belüli hálózaton meg csak a két zentyalt használd dns szervernek.

Igen ez a lehető legrosszabb eset, ha jól tévedek 3 dhcp van egy hálózatba, döntsd el melyik dhcpét kívánod használni vagy/és szegmentáld a hálózatod.
Többféleképpen is megoldhatod, a lényeg az, hogy egy hálózaton "csak" egy dhcp szerver legyen:
1. A router osztja az ipéket.
- Marad a router dhcp-je, a többiet kikapcsolhatod és ez oszt ipt mindenkinek, úgy hogy dns kiszolgálónak a 192.168.1.201 és 192.168.1.201 címet osztja, alapértelmezett átjárónak meg saját magát(192.168.1.1).
- A host debiannál és a zentyalnál fix ip a célszerű dnsnek meg külső/router/szolgáltató dnsét használd.
router(dhcp server)<-192.168.1.0/24->debian
router(dhcp server)<-192.168.1.0/24->vps01,02
router(dhcp server)<-192.168.1.0/24->kliens

2. A Hálózat szegmentálása.
- Sejtem a debian hostba több hálókártya van, ha nincs akkor kell bele, minimum kettő, de szerintem a több az jobb(redundancia)
- A host debiannak egyik(pl. eth0) hálókártyájára a routert kötöd, ezen keresztül fog internetet elérni a host debian ha csak két fizikai hálókártya van akkor a vps01,02 is.
- A vps01,02 átjáró lesz a kliensek meg a router között, az egyik hálókártyája a routerre fog nézni(ha csak két fizikai hálókártyád van akkor ez a host debian eth0 kártyája lesz pl. bridge módban) a másik meg a kliensekre és ezen kell üljön a zentyal dhcp-je.
Itt két külön hálózatod lesz és két darab dhcp szervered lesz.
router(dhcp server)<-192.168.1.0/24->debian
router(dhcp server1)<-192.168.1.0/24->vps01,02(átjáró és dhcp server2)<-192.168.2.0/24->kliens.

Köszönöm a részletes leírást, a hálózaton 2 DHCP van egyik a router és a másik pedig a debian, a host debiannak fix ip-je van, illetve a 2 db zentyal is fix ip-vel van a hálózaton. DNS-ből pedig van 3 db a host debian-on illetve a 2 Zentyal-on. Ezt lényegében egy kártyával kell megoldanom és most egy is van benne.

Ha egy kártyával kell megoldanod akkor mi értelme a van a két zentyalnak?
Na mindegy, de akkor az első pont szerint állítsd be a cuccot és jó lesz. Ami fontos, hogy a guest zentyal rendszer bridge módba osztozzon a host debian hálókártyáján, a dhcp szerver pedig csak a routeren lehet, a dnsből lehet több is, az mindegy, csak a router dhcpje csak a zentyal dnsét terjessze a kliensekre.

Az rendben van, de ha elszáll a hálókártya akkor szopás van.
Értem én, írtad, hogy nem megoldott a másik hálókari, ennek az okát csak te tudod, de érdemes elgondolkozni azon, hogy valahogy mégiscsak kerüljön még bele.
Ahogy dejo is írta az 1. megoldásom hibás illetve erősen nem ajánlott. Annyit csinálhatsz, hogy a host meg a router legyen fix és csak az ad oszt ipét, ez nem tudom mennyire működhet jól.

Viszont van egy olyan szabály is, hogy a IP-címet az AD szervernek kell osztania, mert a névszerver is ő kell, hogy legyen és csak így biztosított a gyors és hibátlan feloldás!
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

erre nem is gondoltam, most olvastam utána és valóban nem ajánlja az ms, akkor viszont sorry, nem akartam senki félre vezetni.
Így viszont csak a 2. lehetőség tűnik jónak, ahogy te is írtad lentebb a saját esetedbe, ez egyébként is szimpatikusabb, de ehhez meg kell plusz hálókártya ami elvileg nem lehet.

( secretx v | 2014. 02. 16., v – 08:24 )

en csak megneznem egy tcpdumppal...

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

( dejo v | 2014. 02. 17., h – 11:28 )

Nálam hasonló a helyzet.
Van egy router ami 50-99 között oszt IP-címeket. A saját IP-címe 254.
A KVM host ami konkrétan Proxmox szerver 6 db hálókártyájából van 5 db bonding-elve a belső hálózat felé és egy követlenül a routerre megy fix IP-vel az 50-99 tartományon kívül. De ez mind a kettő bridgelve van.
A Zentyal meg használja a két virtuális kártyát amit a Proxmoxtól kap. A Zentyal is kifele és befele is fix IP-címeket használ. Ő az átjáró, a DHCP szerver a DNS, AD, LDAP, meg minden a mi kell.
A router csak azért oszt DHCP-vel IP-címeket, mert van rajta egy WiFi AP is, a vendégeknek, így ők nem látnak bele a céges hálózatba, csak az internetre.
Szóval a KVM-et futtató szerveredbe kellene legalább 2 db hálókártya, hogy ezt elegánsan meg tudd oldani!
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox