panguu
Goto Top

BIND9 mit Active Directory Zusammenspiel konfigurieren

Hallo Leute,

ich nutze zwei BIND9-Server (=192.168.0.1 + 192.168.0.2) auf Debian Squeeze Basis (primary+secondary). Sämtliche Clients haben in ihrer Netzwerkconfig diese zwei DNS-Server eingetragen. Nun möchte ich mit Samba4 einen neuen Active-Directory Domänencontroller erstellen (=192.168.0.100). Der hat einen internen DNS-Server am Laufen. Es gibt drei Möglichkeiten die Kommunikation zwischen meinem bestehenden BIND9 und dem AD-DC zu bewerkstelligen. Zwei dieser Optionen fallen weg, weswegen ich gerne die dritte nutzen möchte und zwar folgende:

Alle Anfragen der Clients die was mit AD zu tun haben, müssen den Samba4-Server (IP= .100) erreichen können. Deshalb muss ich meinem BIND9 beibringen, dass alle AD-relevanten Anfragen an die 192.168.0.100 weitergeleitet werden sollen. Sollte ich an diesem Schritt schon falsch liegen, so bitte ich um Korrektur.

Meine bestehende BIND9-Konfiguration sieht wie folgt aus:

__/etc/bind9/named.conf.local:__
include "/etc/bind/secret.key";
controls {
inet 127.0.0.1 allow {localhost; } keys { "secret-key"; };
};

#meine statische Zonen
zone "mycompany.de" {
type master;
file "/var/cache/bind/forwardzone.mycompany.de";
};

zone "0.168.192.in-addr.arpa" {
type master;
file "/var/cache/bind/reversezone.192.168.0";
};
[...hier folgen noch meine dynamischen Zonen für DHCP, ist aber irrelevant...]

__/etc/bind9/named.conf.options:__
options {
directory "/var/cache/bind";
auth-nxdomain no; # conform to RFC1035
                1. ich erlaube meinem secondary ns2 Zonentransfers zu erhalten
                allow-transfer { 192.168.0.2; };
                notify yes;
                query-source address * ;
                listen-on-v6 { none; };
                version "GET LOST !!!";
                allow-query {
                127.0.0.1;
                192.168.0.0/24;
                10.0.0.0/24;
                };
                recursion yes;
                allow-recursion {
                127.0.0.1;
                192.168.0.0/24;
                10.0.0.0/24;
                };
                forwarders {
                192.168.0.254; ;das ist meine Hardware-Firewall IPCop
                };
                forward only;
                };

__/var/cache/bind/forwardzone.mycompany.de:__
$TTL 1W ; 1 week
@ IN SOA derprimary.mycompany.de. admin.mycompany.de. (
2012121801 ; serial
8H ; refresh time
2H ; retry time
4W ; expire
11H ; minimum negative cache
)
NS derprimary.mycompany.de.
NS dersecondary.mycompany.de.
derprimary A 192.168.0.1
dersecondary A 192.168.0.2

rechner1 A 192.168.0.61
xyzmachine A 192.168.0.77

Meine DNS-Zone im LAN heißt mycompany.de, meine Hosts sehen also so aus "rechner1.mycompany.de", "rechner44.mycompany.de", usw.

Ich bin mir nun nicht sicher, ob ich für meinen neuen AD-Controller die realm "ad.mycompany.de" nutzen sollte und als Domänenname "AD", oder doch lieber die realm "mycompany.lan" und Domänenname "AD". Was empfiehlt sich hier, um keine zukünftige Komplikationen zu begegnen?

Und dann bin ich mir nicht sicher, wie ich meine config ergänzen muss, um diese neue Zone fürs AD einzurichten. Ich denke hier an zwei Lösungsansätze

(Möglichkeit A)
Wenn ich statt meiner bisherigen mycompany.de DNS-Domäne für die neue AD-Domäne einfach mycompany.lan verwenden würde (siehe oben), so könnte ich ja einfachhalber eine neue Zone in meiner BIND9-Config hinzufügen, á-la:
[...]
zone "mycompany.lan" {
type master;
file "forwardzone.mycompany.lan";
forwarders { };
};

dann erstelle ich eine /var/cache/bind/forwardzone.mycompany.lan Datei und schreibe dort rein:
$TTL 1W ; 1 week
@ IN SOA derprimary.mycompany.de. admin.mycompany.de. (
2012121801 ; serial
8H ; refresh time
2H ; retry time
4W ; expire
11H ; minimum negative cache
)
NS derprimary.mycompany.de.
NS dersecondary.mycompany.de.
$ORIGIN mycompany.lan.
@ NS dc1.mydomain.lan.
dc1 A 192.168.0.100

Dann würde quasi sämtlicher Verkehr was mit mydomain.lan zu tun hat zum Server 192.168.0.100 weitergeschickt werden, oder nicht?

-oder-

(Möglichkeit B)
Ich behalte meine DNS-Struktur bei integriere meinen neuen AD in diese Domäne hinein, indem der neue Domänencontroller dc1 die Domäne ad.mycompany.de nutzt (realm=ad.mycompany.de, Domänenname=AD). Somit bleib ich in meiner vorhandenen DNS-Zone mycompany.de

Also müsste ich explizit alle AD-relevanten Abfragen herauspicken und explizit diese nur an den 192.168.0.100 (=dc1) senden. Ich dachte dabei an folgende config, nachdem ich mir dieses Microsoft WhitePaper angeschaut habe (http://technet.microsoft.com/en-us/library/dd316373.aspx):

Ich dachte, damit in Zukunft weitere DCs dynamisch schreiben dürfen, erstelle ich lieber eine neue Zone, extra für ad.mycompany.de. Ich könnte natürlich auch meine vorhandene Zone mycompany.de nutzen, aber wenn BIND9 dynamisch in Zonenfiles reinschreibt, dann würfelt er die Anordnung total durcheinander und das kann schnell unübersichtlich werden ( siehe DHCP-Zonenfiles face-wink ). Also erstelle ich eine extra Zone mit extra Datei:

__ich füge in meine bestehende /etc/bind/named.conf.local eine neue Zone ein:__
zone "ad.mycompany.de" {
type master;
file "/var/cache/bind/forwardzone.ad";
allow-update { 192.168.0.101; }; <== die .101 soll später der dc2 werden, und der soll dyn. updaten dürfen
check-names ignore;
};

__jetzt erstelle ich eine neue Zonendatei /var/cache/bind/forwardzone.ad mit diesem Inhalt:__
$TTL 1W ; 1 week
@ IN SOA derprimary.mycompany.de. admin.mycompany.de. (
2012121801 ; serial
8H ; refresh time
2H ; retry time
4W ; expire
11H ; minimum negative cache
)
NS derprimary.mycompany.de.
NS dersecondary.mycompany.de.
dc1.mycompany.de. A 192.168.0.100
_ldap._tcp.ad.mycompany.de. SRV 0 0 389 dc1.ad.mycompany.de.
_kerberos._tcp.ad.mycompany.de. SRV 0 0 88 dc1.ad.mycompany.de.
_ldap._tcp.dc_msdcs.ad.mycompany.de. SRV 0 0 389 dc1.ad.mycompany.de.
_kerberos._tcp.dc._msdcs.ad.mycompany.de. SRV 0 0 88 dc1.ad.mycompany.de.
gc._mscds.ad.mycompany.de. SRV 0 0 3268 dc1.ad.mycompany.de.

Und die Namen auf der linken und rechten Seite benötigen wirklich einen . am Ende ?? Ich kenn das normalerweise nur von den reverse Zone files so, dass der . da sein muss. Apropos reverse Zone: Eine reverse Zone benötigt AD also nicht, wenn ich das richtig verstanden habe?

Ich würde mich freuen wenn sich ein DNS Profi hier zu Wort melden könnte, und mir feedback zu diesem Vorhaben oder Thematik geben könnte. Recht herzlichen Dank im Voraus.

Grüße,
Pangu.

Content-Key: 197182

Url: https://administrator.de/contentid/197182

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: panguu
panguu 17.01.2013 um 22:47:32 Uhr
Goto Top
Aktuell verwende ich folgende Konfiguration, die laut nslookup zu funktionieren scheint. Mit AD habe ich es noch nicht getestet, da ich momentan den Samba4 installiere und am Konfigurieren bin. Aber vllt. kann sich ja trotzdem ncoh jemand melden wegen meiner config, ob das so ok ist oder ob ich damit später andere Probleme begegnen werde...

Ich verwende keine eigene Zone für mein Vorhaben, sondern nutze einfach meine vorhandene Zone mycompany.de, also die Datei /var/cache/bind/forwardzone.mycompany.de:

$TTL 1W ; 1 week
@ IN SOA derprimary.mycompany.de. admin.mycompany.de. (
2012121801 ; serial
8H ; refresh time
2H ; retry time
4W ; expire
11H ; minimum negative cache
)
NS derprimary.mycompany.de.
NS dersecondary.mycompany.de.
derprimary A 192.168.0.1
dersecondary A 192.168.0.2
rechner1 A 192.168.0.61
xyzmachine A 192.168.0.77

;hier habe ich nun hinzugefügt
dc1.ad A 192.168.0.24
_ldap._tcp.ad.mycompany.de. SRV 0 0 389 dc1.ad.mycompany.de.
_kerberos._tcp.ad.mycompany.de. SRV 0 0 88 dc1.ad.mycompany.de.
_ldap._tcp.dc._msdcs.ad.mycompany.de. SRV 0 0 389 dc1.ad.mycompany.de.
_kerberos._tcp.dc._msdcs.ad.mycompany.de. SRV 0 0 88 dc1.ad.mycompany.de.
gc._mscds.ad.mycompany.de. SRV 0 0 3268 dc1.ad.mycompany.de.

Wenn ich nun dc1.ad.mycompany.de auflöse, dann krieg ich als Antwort die 192.168.0.24 geliefert. Auch konnte ich erfolgreich "_ldap._tcp.dc._msdcs.ad.mycompany.de" auflösen und erhielt eine entsprechende Antwort. Ist das also ok, was meinen die DNS Gurus hier?
Mitglied: panguu
panguu 07.02.2013 um 07:38:49 Uhr
Goto Top
Scheint wohlwohl bisher keinersoweit in aehnlicherdie Konstellation errichtet zu habendeinem face-smileich Nunja, wie auch immer. Wollte feedback geben und das topic hiermit schliessen:

ich habe meinen jetzigen BIND9 Server so konfiguriert, dass ich eine subzone namens ad.mycompany.de nutze, und fuer diese gibts dann einen forward an den Samba4 Server. Dort laeuft dann ja samba4's eigener DNS inkl. AD. So ist das alles sauber getrennt,denn saemtliche Anfragen die AD betreffen, werden zum AD DC geleitet und dort vom DNS beantwortet.
Mitglied: bolligru
bolligru 12.10.2015 um 09:06:26 Uhr
Goto Top
Der Beitrag ist zwar schon älter, aber die Fragestellung ist immer noch relevant.
Wer auf Bind9 und Samba4 von MS 2003 7 2008 umsteigt hat immer noch die Probleme mit statischen vs. dynamischen DNS-Einträgen.

Meine Frage: ist Deine Lösung noch aktiv, gab es Problem mit dem AD?
Kannst Du bitte die BIND9-Konfiguration etwas ausführlicher beschreiben?

Danke!