Active directory, DNS win2003 и DNS linux как связать - Сети

zorion · 05.10.2005, 03:44

Есть DNS поднятый на linux, все пользователи входящие в сеть получают доменное имя вида comp1.vasya.vasya.ru
Этот DNS и ещё пара других путей раздаются автоматом для всех.
Есть домен petya.ru на двух win2003 с настроенным DNS и так далее. В DNS указана копия зоны linux DNS vasya.vasya.ru

Когда комп входит в домен, он автоматом кидается на linux DNS и тот его ни куда не отправляет, потому что он не знает о существовании petya.ru Как итог не работают групповые политики и все прелести доменов. Вылазит в журнале ошибка DnsApi 11165

Не удалось зарегистрировать записи ресурсов (RR) узлов (A)
для сетевого адаптера с параметрами:

Имя адаптера: {EDCFCB42-DB56-4710-9904-60DC4281C8EF}
Имя узла: zorion
Суффикс основного домена: vasya.ru
Список DNS-серверов:
192.168.140.18, 192.168.140.19, 192.168.140.29
Отправка обновления на сервер: <?>
IP-адрес (адреса):
192.168.145.194

Не удалось выполнить регистрацию этих RR в DNS из-за того, что DNS-сервер отверг запрос обновления. Это могло произойти по одной из следующих причин: (а) текущая политика обновления DNS не разрешает этому компьютеру обновить указанное DNS-имя домена, (б) удостоверяющий DNS-сервер для этого DNS-имени не поддерживает протокол динамического обновления DNS.

Если вручную прописать пользователю что надо кидаться на petya.ru то всё работает нормально

Теперь вопрос.
Как объяснить linux DNS, что если пользователь ищет домен petya.ru то надо обращаться на такой-то ip. Естественно что контроллеров домена два.

Вроде проблему описал, кто что думет, знает, какую информацию ещё предоставить?

SinClaus · 05.10.2005, 16:22

AD требует динамического DNS , т.е. имеется две возможности: взвести на Линуксе DDNS и убрать DNS с виндовых серверов, либо указать виндовым серверам брать имена, которые они не знают с линукса (в винде это называется разрешить рекурсию) а юзерам укзывать на машине как первый DNS адрес виндового сервера.

zorion · 06.10.2005, 01:32

Там в тексте моего сообщения есть список

Цитата:

zorion:
Список DNS-серверов:
192.168.140.18, 192.168.140.19, 192.168.140.29

192.168.140.19 это как раз один из доменных DNS, а если он в этом списке будет первым стоять, может всё получится, ни кто не пробовал?
У меня нет возможности попробовать, так как linux не я админю, а админ не хочет трогать работающую систему для экспериментов?
Уж очень не охота в ручную писать на каждой машине. При удачном раскладе их больше 300 будет.

ioka · 06.10.2005, 03:32

Цитата:

zorion:
У меня нет возможности попробовать, так как linux не я админю, а админ не хочет трогать работающую систему для экспериментов?

это очень жаль....

в принципе на линухе нада поднять зоны винды (а на винде еще и разрешить зоны брать) для кеширования (указав masters), ну чтобы на линухе была копия зоны вин-домена

Цитата:

zorion:
192.168.140.19 это как раз один из доменных DNS, а если он в этом списке будет первым стоять, может всё получится, ни кто не пробовал?

по идее и обычно должно получиться, правда иногда порядок бывает нужно менять

SinClaus · 06.10.2005, 15:15

Я думаю, на Линухе никто поднимать DDNS не будет - обычно юниксы смотрят наружу, и там это весьма опасно.
У меня сделано так, как я советовал выше: винда держит домен и имена для него, а имена для внешних сетей берет с Соляры. Там же проблема не только с внесением регистрируемых в домене машин в зону - сервера AD регистрируют там кучу нужных им записей: имена для Kerberos, LDAP-ные имена и т.д. Машины при регистрации в домене автоматом прописываются в прямой и обратной зонах.

zorion · 07.10.2005, 00:09

Из всего сказанного, получается выход один, прописывать вручную?

SinClaus · 07.10.2005, 15:02

Что? На машинах порядок следования серверов - да (если статические IP. Если динамические - на винде же поднять DHCP, а на линуксе опустить). На одном из виндовых серверов настроить DNS сервер и всем остальным Win серверам сказать что он - главный.

ioka · 07.10.2005, 17:38

zorion, еще можно, поскольку машины в домене, попробовать групповой политикой циферьки днс-серверов прописать (чтобы не прописывать руками): как обычно создать контейнер, в нем политику, и редактировать, Computer Configuration/Administrative Templates/Network/DNS Client -> DNS Servers; и в этот контейнер поместить машины, что надо поправить... но это не всегда хорошо может работать

...
а можно и скриптик (рег-файл) в те же политики (можно/нужно и для пользователей[User Configuration/Windows Settings/Scripts (Logon/Logoff)]), чтобы при логине прописались нужные настройки...
в общем можно автоматизировать-покопать GPO...

zorion · 10.10.2005, 01:39

Цитата:

ioka:
попробовать групповой политикой

Хорошее предложение, но в том-то вся и проблема, что политики комп не может применить так как сервера найти не может

Цитата:

SinClaus:
на винде же поднять DHCP, а на линуксе опустить

Тут есть большая проблема, во первых сеть очень большая, растянутая и по удалнности и по количеству подсетей, во-вторых этого ни кто ни когда не делал. Если получится нормально организовать актив директории, то потом уже будем заниматься полным переводом на винду и DHCP и DNS

ioka · 10.10.2005, 02:17

Цитата:

zorion:
политики комп не может применить так как сервера найти не может

получается, что они не в домене??

05.10.2005, 03:44	# 1
zorion Junior Member Регистрация: 03.03.2004 Адрес: Дальний Восток Сообщения: 63	Active directory, DNS win2003 и DNS linux как связать Есть DNS поднятый на linux, все пользователи входящие в сеть получают доменное имя вида comp1.vasya.vasya.ru Этот DNS и ещё пара других путей раздаются автоматом для всех. Есть домен petya.ru на двух win2003 с настроенным DNS и так далее. В DNS указана копия зоны linux DNS vasya.vasya.ru Когда комп входит в домен, он автоматом кидается на linux DNS и тот его ни куда не отправляет, потому что он не знает о существовании petya.ru Как итог не работают групповые политики и все прелести доменов. Вылазит в журнале ошибка DnsApi 11165 Не удалось зарегистрировать записи ресурсов (RR) узлов (A) для сетевого адаптера с параметрами: Имя адаптера: {EDCFCB42-DB56-4710-9904-60DC4281C8EF} Имя узла: zorion Суффикс основного домена: vasya.ru Список DNS-серверов: 192.168.140.18, 192.168.140.19, 192.168.140.29 Отправка обновления на сервер: <?> IP-адрес (адреса): 192.168.145.194 Не удалось выполнить регистрацию этих RR в DNS из-за того, что DNS-сервер отверг запрос обновления. Это могло произойти по одной из следующих причин: (а) текущая политика обновления DNS не разрешает этому компьютеру обновить указанное DNS-имя домена, (б) удостоверяющий DNS-сервер для этого DNS-имени не поддерживает протокол динамического обновления DNS. Если вручную прописать пользователю что надо кидаться на petya.ru то всё работает нормально Теперь вопрос. Как объяснить linux DNS, что если пользователь ищет домен petya.ru то надо обращаться на такой-то ip. Естественно что контроллеров домена два. Вроде проблему описал, кто что думет, знает, какую информацию ещё предоставить?

05.10.2005, 16:22	# 2
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 332	AD требует динамического DNS , т.е. имеется две возможности: взвести на Линуксе DDNS и убрать DNS с виндовых серверов, либо указать виндовым серверам брать имена, которые они не знают с линукса (в винде это называется разрешить рекурсию) а юзерам укзывать на машине как первый DNS адрес виндового сервера. __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

06.10.2005, 15:15	# 5
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 332	Я думаю, на Линухе никто поднимать DDNS не будет - обычно юниксы смотрят наружу, и там это весьма опасно. У меня сделано так, как я советовал выше: винда держит домен и имена для него, а имена для внешних сетей берет с Соляры. Там же проблема не только с внесением регистрируемых в домене машин в зону - сервера AD регистрируют там кучу нужных им записей: имена для Kerberos, LDAP-ные имена и т.д. Машины при регистрации в домене автоматом прописываются в прямой и обратной зонах. __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

07.10.2005, 15:02	# 7
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 332	Что? На машинах порядок следования серверов - да (если статические IP. Если динамические - на винде же поднять DHCP, а на линуксе опустить). На одном из виндовых серверов настроить DNS сервер и всем остальным Win серверам сказать что он - главный. __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

07.10.2005, 00:09	# 6
zorion Junior Member Регистрация: 03.03.2004 Адрес: Дальний Восток Сообщения: 63	Из всего сказанного, получается выход один, прописывать вручную?

07.10.2005, 17:38	# 8
ioka Full Member Регистрация: 21.04.2004 Сообщения: 502	zorion, еще можно, поскольку машины в домене, попробовать групповой политикой циферьки днс-серверов прописать (чтобы не прописывать руками): как обычно создать контейнер, в нем политику, и редактировать, Computer Configuration/Administrative Templates/Network/DNS Client -> DNS Servers; и в этот контейнер поместить машины, что надо поправить... но это не всегда хорошо может работать ... а можно и скриптик (рег-файл) в те же политики (можно/нужно и для пользователей[User Configuration/Windows Settings/Scripts (Logon/Logoff)]), чтобы при логине прописались нужные настройки... в общем можно автоматизировать-покопать GPO...