Назад | Перейти на главную страницу

Как заставить контроллер домена Windows и Ubuntu dnsmasq нормально работать?

Я унаследовал «право собственности» на сеть, в которой есть сервер Windows 2003, работающий как контроллер домена, и файловый сервер (без использования IIS или DNS). Мы также используем сервер Ubuntu, на котором запущен dnsmasq, в качестве внутреннего сервера имен.

До сих пор эта установка не представляла проблем - мы устанавливаем новый сервер Windows 2008 (новое оборудование и все остальное) и хотим постепенно переносить службы и данные со старого сервера. Чтобы начать этот процесс, мы пытаемся добавить новый сервер в качестве вторичного контроллера в нашем домене. Сервер подключается к домену достаточно легко, но когда мы пытаемся указать лес для нового контроллера, мы получаем эту ошибку:

Следующая ошибка произошла, когда DNS был запрошен для записи ресурса местоположения службы (SRV), используемой для поиска контроллера домена Active Directory (AD DC) для домена «DOMAIN.address.com»:

Ошибка была: «DNS-имя не существует». (код ошибки 0x0000232B RCODE_NAME_ERROR)

Запрос был для записи SRV для _ldap._tcp.dc._msdcs.DOMAIN.address.com

К распространенным причинам этой ошибки относятся следующие:

  • Записи DNS SRV, необходимые для нахождения AD DC для домена, не зарегистрированы в DNS. Эти записи автоматически регистрируются на DNS-сервере при добавлении AD DC в домен. Они обновляются AD DC через заданные интервалы. Этот компьютер настроен на использование DNS-серверов со следующими IP-адресами:

xxx.xxx.xxx.xxx

Одна или несколько из следующих зон не включают делегирование в свою дочернюю зону:

  • DOMAIN.address.com
  • address.com
  • com
  • . (корневая зона)

Теперь я думаю, что решение состоит в том, чтобы заставить сервер 2008 использовать DNS сервера 2003 года вместо нашей Ubuntu? Это правильное решение? Есть ли другие варианты? Что могли пропустить я и моя команда?

Я бы не стал прикладывать слишком много усилий для того, чтобы он «хорошо играл», я бы предпочел интегрированный в AD DNS вместо dnsmasq ...

  1. Установить DNS сервер на Windows 2003 DC
  2. Создайте основную зону прямого просмотра под названием DOMAIN.address.com
  3. Перенесите записи с вашего сервера Ubuntu на новый DNS-сервер на DC.
  4. Преобразование зоны в зону, интегрированную в Active Directory
  5. Перезапустите службу netlogon на контроллере домена 2003 (таким образом все записи SRV в подзоне _msdcs будут перерегистрированы)
  6. Убедитесь, что записи SRV на месте (например, ping _ldap._tcp.dc._msdcs.DOMAIN.addresse.com )
  7. Использование DC 2003 в качестве DNS-сервера в будущем
  8. Используйте сервер Ubuntu для чего-нибудь еще ... ;-)

Теперь новый DC 2008 сможет найти DC во время dcpromo, и все должно работать должным образом :-)

Вы бы действительно необходимость хотите интегрированный в AD DNS-сервер MS - иначе потребовалось бы значительные накладные расходы на настройку. Но вы можете сохранить существующую инфраструктуру серверов имен и просто добавить к ней DNS-серверы MS.

Вы легко можете заставить разные серверы имен «хорошо играть» вместе, убедившись, что пространства имен, для которых они являются полномочными, не перекрываются. Если ваш «внутренний сервер имен» имеет полномочия на address.com зоне, вполне нормально иметь сервер AD DNS с DOMAIN.address.com зона. Чтобы убедиться, что ваш сервер dnsmasq может отвечать на запросы для DOMAIN.address.com вы просто можете добавить определения пересылки для DOMAIN.address.com зона для вашего dnsmasq конфигурация, подобная этой в dnsmasq.conf:

server=/DOMAIN.address.com/192.168.0.1

или, альтернативно, используя -S /DOMAIN.address.com/192.168.0.1 параметр командной строки для dnsmasq где 192.168.0.1 следует заменить IP-адресом одного из ваших DNS-серверов AD.

Если пространства имен делать перекрываются, вам не повезло - поскольку это выходит за рамки спецификации DNS, поэтому любая совместимость между первичный серверы имен, хранящие зоны (т. е. репликация данных зоны), потребуют специальных механизмов. Хотя такие механизмы встроены в DNS-сервер MS для репликации данных зоны DNS, интегрированной в AD, между DNS-серверами AD, такая совместимость не реализована для каких-либо сторонних организаций.