Я унаследовал «право собственности» на сеть, в которой есть сервер Windows 2003, работающий как контроллер домена, и файловый сервер (без использования IIS или DNS). Мы также используем сервер Ubuntu, на котором запущен dnsmasq, в качестве внутреннего сервера имен.
До сих пор эта установка не представляла проблем - мы устанавливаем новый сервер Windows 2008 (новое оборудование и все остальное) и хотим постепенно переносить службы и данные со старого сервера. Чтобы начать этот процесс, мы пытаемся добавить новый сервер в качестве вторичного контроллера в нашем домене. Сервер подключается к домену достаточно легко, но когда мы пытаемся указать лес для нового контроллера, мы получаем эту ошибку:
Следующая ошибка произошла, когда DNS был запрошен для записи ресурса местоположения службы (SRV), используемой для поиска контроллера домена Active Directory (AD DC) для домена «DOMAIN.address.com»:
Ошибка была: «DNS-имя не существует». (код ошибки 0x0000232B RCODE_NAME_ERROR)
Запрос был для записи SRV для _ldap._tcp.dc._msdcs.DOMAIN.address.com
К распространенным причинам этой ошибки относятся следующие:
- Записи DNS SRV, необходимые для нахождения AD DC для домена, не зарегистрированы в DNS. Эти записи автоматически регистрируются на DNS-сервере при добавлении AD DC в домен. Они обновляются AD DC через заданные интервалы. Этот компьютер настроен на использование DNS-серверов со следующими IP-адресами:
xxx.xxx.xxx.xxx
Одна или несколько из следующих зон не включают делегирование в свою дочернюю зону:
- DOMAIN.address.com
- address.com
- com
- . (корневая зона)
Теперь я думаю, что решение состоит в том, чтобы заставить сервер 2008 использовать DNS сервера 2003 года вместо нашей Ubuntu? Это правильное решение? Есть ли другие варианты? Что могли пропустить я и моя команда?
Я бы не стал прикладывать слишком много усилий для того, чтобы он «хорошо играл», я бы предпочел интегрированный в AD DNS вместо dnsmasq ...
DOMAIN.address.com
ping _ldap._tcp.dc._msdcs.DOMAIN.addresse.com
)Теперь новый DC 2008 сможет найти DC во время dcpromo, и все должно работать должным образом :-)
Вы бы действительно необходимость хотите интегрированный в AD DNS-сервер MS - иначе потребовалось бы значительные накладные расходы на настройку. Но вы можете сохранить существующую инфраструктуру серверов имен и просто добавить к ней DNS-серверы MS.
Вы легко можете заставить разные серверы имен «хорошо играть» вместе, убедившись, что пространства имен, для которых они являются полномочными, не перекрываются. Если ваш «внутренний сервер имен» имеет полномочия на address.com зоне, вполне нормально иметь сервер AD DNS с DOMAIN.address.com зона. Чтобы убедиться, что ваш сервер dnsmasq может отвечать на запросы для DOMAIN.address.com вы просто можете добавить определения пересылки для DOMAIN.address.com зона для вашего dnsmasq
конфигурация, подобная этой в dnsmasq.conf
:
server=/DOMAIN.address.com/192.168.0.1
или, альтернативно, используя -S /DOMAIN.address.com/192.168.0.1
параметр командной строки для dnsmasq
где 192.168.0.1
следует заменить IP-адресом одного из ваших DNS-серверов AD.
Если пространства имен делать перекрываются, вам не повезло - поскольку это выходит за рамки спецификации DNS, поэтому любая совместимость между первичный серверы имен, хранящие зоны (т. е. репликация данных зоны), потребуют специальных механизмов. Хотя такие механизмы встроены в DNS-сервер MS для репликации данных зоны DNS, интегрированной в AD, между DNS-серверами AD, такая совместимость не реализована для каких-либо сторонних организаций.