Üdv!
Van egy Win2003 domainem, ami valami érdekes módon úgy lett feltelepítve, hogy nincsenek a Bind DNS-ben bejegyzések hozzá. Ezeket szeretném most megcsinálni neki. A céges domain company.hu, a windows tartomány legyen mondjuk windom.company.hu, a szerver pedig winserver.company.hu Ez ezetben hogy kell kinézni a zónáknak?
Ezt a leírást követtem: http://www.linux-france.org/article/serveur/dns-bind/
Így próbáltam:
zone "_msdcs.windom.company.hu"{
type slave;
file "/etc/bind/_msdcs";
masters {winserver_ip_cime;};
};
zone "_sites.windom.company.hu"{
type slave;
file "/etc/bind/_sites";
masters {winserver_ip_cime;};
};
zone "_tcp.windom.company.hu"{
type slave;
file "/etc/bind/_tcp";
masters {winserver_ip_cime;};
};
zone "_udp.windom.company.hu"{
type slave;
file "/etc/bind/_udp";
masters {winserver_ip_cime;};
};Syslog üzenetek:
named[27731]: slave zone "_udp.windom.company.hu" (IN) rejected due to errors (serial 0)
named[27731]: Zone "_udp.windom.company.hu" (file /etc/bind/_udp): no SOA RR found
named-xfer[27737]: connect([winserver_ip_cime].53) for zone _udp.windom.company.hu failed: Connection refused
named[27734]: Err/TO getting serial# for "_udp.windom.company.hu"
ugyanez a többi 3 új zónára is..
Mit csinálok rosszul?
Petya
- 1522 megtekintés
Hozzászólások
a primary ns-en engedélyezve van a zona transfer efelé a gép felé ?
Celeron-M 1400Mhz, 768M, Debian SID, 2.6.18-rc7
- A hozzászóláshoz be kell jelentkezni
allow_transfer, ugye? Ezt hol kell beállítani? (A hálózatban csak ez az 1 bind DNS szerver van.)
Ez engedélyezi, hogy a DNS-be beleírjon a windows szerver?
Petya
- A hozzászóláshoz be kell jelentkezni
Tokeletesen osszekevered, epp forditva kellene... A win2k3-on kell engedelyezni, hogy a bind elhozhassa a zonat. Ezek a zonak mihez kellenek? Miert nem allitod be ugy a halozaton levo nem wines gepeket, hogy az AD-s zonat a DC-tol kerdezzek? A bind meg akar a zona nelkul, forwarder is lehet ehhez az egy zonahoz (windom.company.hu).
- A hozzászóláshoz be kell jelentkezni
Amennyiben lehetséges, jobban járnál, ha AD integrált DNS-t használnál. Ezzel sok üzemeltetési feladatot le tudnál venni a válladról (pl a DNS replikáció egybeesik az AD replikációval, nem kell külön hegeszteni).
- A hozzászóláshoz be kell jelentkezni
Üdv!
Akkor azt mondod, hogy a bind-ben ne legyen semmilyen bejegyzés, és rakjak a DC-re DNS-t?
Azért leírnám miért kell ez az egész:
Van a domain, 12 kliens, meg a DC. Valaki feltelepítette, egyáltalán nem biztos, hogy jól, egy darabing ment, most meg random lefagyásokat, home könyvtár elérhetetlenséget produkál, reset után megjavul. Gondolom diszk hiba lehet, meg amúgy is lassú az a gép, így vettünk egy újat. Az a tervem, hogy az újat beállítom mádodlagos DC-ek, átreplikál, majd a régit lefokozom és kiveszem a domainből. Így megmaradnak elvileg a user accountok, jelszavak.
A probléma ott van, hogy nem sikerült beléptetni a domain-be az új szervert. Sokat próbálkoztam, és WINS-en keresztül végül sikerült, de pl az új szerveren nem lehet a domainba bejelentkezni, csak a helyi gépre. dcpromo parancs meg DNS hibával száll el, nem látja meg a domaint. Ezért gondoltam, hogy bele kell tenni rendesen a DNS-be ezeket a bejegyzéseket.
Ha másképpen is meg lehet oldani ezt, akkor várom a javaslatokat. (AD export-import megoldható?)
szerk: ja, és a domain kliensek IP-ivel rendszeresen "denied update" üznenetek kerülnek a syslog-ba. Ez összefügghet ezzel a problémával?
Petya
- A hozzászóláshoz be kell jelentkezni
Ize, szerintem nagyon rosszul van valami nalatok beallitva. Az AD DC eleve DNS szerver is a domain-jehez, alighanem masszivan elkutyultad a gepek DNS beallitasat, es a DC helyett a bind-hoz akarnak a gepek bejelentkezni. Vedd ki a linuxos gepet a halorol, rakd rendbe a klienseket DNS-ugyileg, ha eddig minden rendben akko migrald az uj win szerverre az AD-t, es legkozelebb csak akkor tegyel be linuxos gepet, ha mar ismered annyira az AD mukodeset, hogy ne vagd haza vele...
- A hozzászóláshoz be kell jelentkezni
Valamit félreértesz, a domainban nincs linuxos gép. Van 12 Xp, egy 2003server a jelenlegi DC, egy másik 2003server az új DC, amivel le akarom cserélni a régit. Linux csak a DNS szerveren van, ami nem csak ennek a domain-nek, hanem a többi, nem domain-be tartozó gépnek is szolgáltat DNS-t. Tehát akkor hogy is kell beállítani a DNS-t? A domain kliensek a DC-hez fordulnak _minden_ DNS queryvel? És ha nem AD-s cucc, hanem valódi pl weboldallekérés, akkor fowdardolja a bind-nek?
Petya
- A hozzászóláshoz be kell jelentkezni
Igen, a kliens gépeken DNS-nek a DC-t kell megadni. Amire nem tud authoritative válaszolni, azt a root hintek alapján továbbítja a root DNS szervereknek, majd a választ visszaadja a klienseknek (ez a default beállítás, fel lehet venni forwardereket is természetesen).
Az AD replikáció nem fog menni addig, amíg a DNS nincs rendbetéve (a dcpromo is ezért halt meg valószínűleg). Új DC-t tehát nem fogsz tudni szabályosan beléptetni.
Ja, és még valami. Mielőtt a régi DC-t leállítanád, az FSMO szerepeket át kell mozgatni az újra.
- A hozzászóláshoz be kell jelentkezni
Üdv!
"Igen, a kliens gépeken DNS-nek a DC-t kell megadni. Amire nem tud authoritative válaszolni, azt a root hintek alapján továbbítja a root DNS szervereknek, majd a választ visszaadja a klienseknek (ez a default beállítás, fel lehet venni forwardereket is természetesen)."
Oké, de honnan tudja a DC, hogy hol az igazi DNS szerver? A DC-n mit kell beállítani DNS szervernek a hálózati kapcsolatoknál? Önmagát, ha jól tudom..
Petya
- A hozzászóláshoz be kell jelentkezni
Mint mar korabban is irtam, a w2k3 domain DNS zonajat ne akard masik geppel kiszolgalni, mint ahogy most teszed, garantalt szivasokhoz vezet. A DC-n pedig be lehet konfigolni DNS forwardereket. Ne a halozati kapcsolatoknal kutakodj, van rendes DNS konfiguraloja is. A kerdeseid alapjan szerintem rad fer egy kis olvasgatas...
- A hozzászóláshoz be kell jelentkezni
"szerk: ja, és a domain kliensek IP-ivel rendszeresen "denied update" üznenetek kerülnek a syslog-ba."
"A kapcsolat címének regisztrálása a DNS-be" nevu pipat ki kell venni a kliens gepek DNS beallitasaibol es akkor nem akarjak updatelni a DNS-t
azt viszont engedelyezd a bind-ben, hogy a tartomanyvezerlo updatelhesse a rekordjait, mert a kliensek ez alapjan talaljak meg a tartomanyt es a tobbi eroforrast. a kovetkezo rekordokat fogja updatelni: c:\windows\system32\config\netlogon.dns
- A hozzászóláshoz be kell jelentkezni
a winserver_ip_cime nem engedi a csatlakozast ezert nem tudja letolteni a zonat a bind. fut rajta a DNS?
- A hozzászóláshoz be kell jelentkezni