PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : BIND als DNS-Server für Active Directory



Necron
13.10.06, 10:06
Hallo Zusammen,

wie in der Überschrift zu lesen ist, habe ich Probleme mit BIND den ich als DNS Server für das Microsoft Active Directory einsetzen möchte. Ich weiß nicht was an den Config-Dateien falsch sein könnte?
Denn das Active Directory-Setup meldet immer das der DNS-Server die dynamische Aktualisierung nicht unterstützen würde, dabei ist diese doch aktiviert.

named.conf:


acl "ADservers" {192.168.0.222; 127.0.0.1;};
options {
directory "C:\WINDOWS\system32\dns\etc";
pid-file "named.pid";
};

zone "." {
type hint;
file "named.root";
};


zone "0.168.192.in-addr.arpa" {
type master;
file "reverse";
check-names ignore;
allow-update {ADservers;};
};

zone "test.local" {
type master;
file "test";
check-names ignore;
allow-update {ADservers;};
};

zone "_msdcs.test.local" {
type master;
file "msdcs";
check-names ignore;
allow-update {ADservers;};
};

zone "_sites.test.local" {
type master;
file "sites";
check-names ignore;
allow-update {ADservers;};
};

zone "_tcp.test.local" {
type master;
file "tcp";
check-names ignore;
allow-update {ADservers;};
};

zone "_udp.test.local" {
type master;
file "udp";
check-names ignore;
allow-update {ADservers;};
};


Eine der Zonendateien:


$ORIGIN .
$TTL 86400 ; 1 day
_msdcs.test.local IN SOA dc.test.local. hostmaster.test.local. (
2006100700 ; serial
3600 ; refresh (1 hour)
900 ; retry (15 minutes)
2592000 ; expire (4 weeks 2 days)
3600 ; minimum (1 hour)
)
NS dc.test.local.
$ORIGIN _msdcs.test.local.


Da mir in einem Windowsforum nicht viel geholfen werden konnte und ich nach hier her verwiesen worden bin, hoffe ich doch das mir jemand helfen kann.

Gruß

Daniel

403
13.10.06, 14:07
ich verstehe zwar nicht warum das dynamisch sein muss, aber vielleicht hilft dir:
ddns-update-style

Necron
13.10.06, 14:19
ich verstehe zwar nicht warum das dynamisch sein muss
Die ganze DNS-Aktualisierung muss dynamisch sein, da die Domaincontroller des Active Directory von sich aus jede Menge Informationen im DNS hinterlegen, das ganze von Hand einzupflegen und zu warten, ist ein viel zu großer Aufwand der auch noch unnötig Zeit kostet.
ddns-update-style bringt mich in diesem Fall auch nicht weiter, da der Domaincontroller eine feste IP besitzen muss und keine von einem DHCP-Server bezieht.

403
13.10.06, 14:37
erhm, die Seriennummer hattest du natuerlich erhoeht? :D


edit: Ausserdem fehlt da nicht ein Leerzeichen?

richtig: allow-update { 10.0.0.0/22; 127.0.0.1;};
du: allow-update {ADservers;};

Necron
13.10.06, 15:08
Seriennummer wurde natürlich erhöht, die Lehrzeichen tun nicht zur Sache bei ob nun mit oder ohne gleiches Ergebnis wie bisher.
Vor allem meckert das AD-Setup bei der geposteten Zone _msdcs.test.local herum, betreffend das ein DNS-Fehler aufgetreten sei.

frankpr
14.10.06, 00:01
Zumindest kann ich aus Deiner Zonendatei nicht ersehen, welche IP Adresse der Nameserver hat. Der Eintrag sollte auf jeden Fall da sein.
Außerdem, hat der User, unter dem bind läuft, Schreibrechte für das Datenverzeichnis?
Generell muß man natürlich fragen, warum Du nicht gleich den Windows DNS nutzt, wenn schon ADS, der ist in wenigen Minuten eingerichtet.

Necron
14.10.06, 11:45
Zumindest kann ich aus Deiner Zonendatei nicht ersehen, welche IP Adresse der Nameserver hat. Der Eintrag sollte auf jeden Fall da sein.
Außerdem, hat der User, unter dem bind läuft, Schreibrechte für das Datenverzeichnis?
Generell muß man natürlich fragen, warum Du nicht gleich den Windows DNS nutzt, wenn schon ADS, der ist in wenigen Minuten eingerichtet.
Das erste war die Ursache hätte auch selber drauf kommen müssen, danke!
Zum letzten: Es geht mir darum, dass man ADS auch in einer Linux-Umgebung, wo BIND als DNS-Server zum Einsatz, mit BIND zum laufen bringen kann, na klar wäre es einfacher einen Windows DNS Server zu nehmen, aber man muss auch die alternativen in heterogenen Netzwerken betrachten und in Erwägung ziehen.

bla!zilla
14.10.06, 12:05
Also ich hatte es bisher nur in zwei Projekten, bei denen ein BIND Servicerecords eines ADS aufnehmen musste. Und das auch nur, weil z.B. einer der beiden Kunden vier zentrale DNS Server weitweit fährt, und das ADS auch weltweit genutzt werden sollte. So wurden die vier UNIX DNS (damals D220 von HP unter HP-UX 10.20, heute müssen das rx1620 mit HP-UX 11.irgendwas sein) um vier Windows DNS Server erweitert. Diese 8 Server sind die einzigen DNS Server weltweit für dieses Unternehmen. Geht... am Anfang war es etwas wackelig, aber mittlerweile hat das ganze System Windows 2000 Server und die Migration auf Windows Server 2003 und von HP-UX 10.20 auf 11 überlebt.