BIND Forwarders für Active Directory

[feltel]

Ich bin grad dabei ein WIn2003-ADS in unser Netz zu integrieren. Um nicht alle unsere Clients anfassen zu müssen will ich die DNS-Geschichten des ADS auf dem Win2003-Server (10.0.1.12) laufen lassen und lediglich ein Forwarding für die ADS-Zone im Bind einrichten. Dazu hab ich in der /etc/bind/named.conf

Code: Alles auswählen

// Windows Domain-Controller-Zonen
zone "ad.rahndittrich.de" {
       type master;
       allow-update { any; };
       check-names ignore;
       file "/etc/bind/db.ad.rahndittrich.de";
};

zone "_udp.ad.rahndittrich.de" {
        type forward;
        forward only;
        check-names ignore;
        forwarders {
                10.0.1.12;
        };
};

zone "_tcp.ad.rahndittrich.de" {
        type forward;
        forward only;
        check-names ignore;
        forwarders {
                10.0.1.12;
        };
};

zone "_msdcs.ad.rahndittrich.de" {
        type forward;
        forward only;
        check-names ignore;
        forwarders {
                10.0.1.12;
        };
};

zone "_sites.ad.rahndittrich.de" {
        type forward;
        forward only;
        check-names ignore;
        forwarders {
                10.0.1.12;
        };
};

konfiguriert. "ad.rahndittrich.de" ist die ADS-Zone/der ADS-Name. Versuch ich von meinem Win-Client testweise mal den SRV-Record "_ldap.dc._msdcs.ad.rahndittrich.de" aufzulösen klappt das nicht.

*** _ldap.dc._msdcs.ad.rahndittrich.de wurde von amidala.lpz1.rahndittrich.de ni
cht gefunden: Non-existent domain

Irgendwie scheint der Bind die Anfragen nach *.ad.rahndittrich.de nicht nach 10.0.1.12 zu forwarden. Ein "dcdiag /test:DNS" auf dem Win2003-Server läuft ohne Fehler durch, womit ich davon ausgehe das der DNS-Server auf dem Win2003-Server ordnungsgemäß läuft und die richtigen Infos enthält.

Bin ich blind oder sehe ich den Fehler nicht?

[herrchen]

Um nicht alle unsere Clients anfassen zu müssen will ich die DNS-Geschichten des ADS auf dem Win2003-Server (10.0.1.12) laufen lassen

verständnisproblem: verwenden die clients bisher nicht den bind?

konfiguriert. "ad.rahndittrich.de" ist die ADS-Zone/der ADS-Name. Versuch ich von meinem Win-Client testweise mal den SRV-Record "_ldap.dc._msdcs.ad.rahndittrich.de" aufzulösen klappt das nicht.

kann der Windowsserver das auflösen (wenn er sich selbst befragt)?

Bin ich blind oder sehe ich den Fehler nicht?

ich das bisher immer so gemacht, dass ich bei der einrichtung von AD den bind als nameserver verwendet habe.
kann denn ein Windowsclient z.b. "gc._msdcs.ad.rahndittrich.de" auflösen?

herrchen

[feltel]

Um nicht alle unsere Clients anfassen zu müssen will ich die DNS-Geschichten des ADS auf dem Win2003-Server (10.0.1.12) laufen lassen

verständnisproblem: verwenden die clients bisher nicht den bind?

Ja, das tun sie. Genau deshalb will ich ein Forwarding einrichten das die ADS-Zone vom Bind direkt an die Windows-Kiste weitergeleitet wird.

kann der Windowsserver das auflösen (wenn er sich selbst befragt)?

Jupp, das geht.

ich das bisher immer so gemacht, dass ich bei der einrichtung von AD den bind als nameserver verwendet habe.

Daran hab ich auch schon gedacht, nur ist das Problem das ich diese Bind-Installation nicht mehr lange hier hab und sie durch einen VPN-Router von der Telekom (Fragt nicht warum) ersetzt wird. Auf diesem Telekom-Router würd ich dann auch wieder ein Forwarding der ADS-Zone auf den Windows-Server einrichten.

kann denn ein Windowsclient z.b. "gc._msdcs.ad.rahndittrich.de" auflösen?

Jupp, aber nur wenn dort als NS der Windows-Server eingetragen ist.

Code: Alles auswählen

C:\Program Files\Support Tools>nslookup
Default Server:  localhost
Address:  127.0.0.1

> set q=srv
> gc._msdcs.ad.rahndittrich.de
Server:  localhost
Address:  127.0.0.1

_msdcs.ad.rahndittrich.de
        primary name server = srv003.ad.rahndittrich.de
        responsible mail addr = hostmaster.ad.rahndittrich.de
        serial  = 17
        refresh = 900 (15 mins)
        retry   = 600 (10 mins)
        expire  = 86400 (1 day)
        default TTL = 3600 (1 hour)
>

und der selbe Request von meinem PC aus, der den Bind als NS eingetragen hat:

Code: Alles auswählen

C:\>nslookup
Standardserver:  amidala.lpz1.rahndittrich.de
Address:  10.0.1.1

> set q=srv
> gc._msdcs.ad.rahndittrich.de
Server:  amidala.lpz1.rahndittrich.de
Address:  10.0.1.1

*** gc._msdcs.ad.rahndittrich.de wurde von amidala.lpz1.rahndittrich.de nicht ge
funden: Non-existent domain

[herrchen]

Code: Alles auswählen

*** gc._msdcs.ad.rahndittrich.de wurde von amidala.lpz1.rahndittrich.de nicht ge
funden: Non-existent domain

so richtig fällt mir dazu nichts ein, aber man könnte auf der maschine mit bind einmal untersuchen (tcpdump), ob versucht wird den DC zu kontaktieren.

herrchen

[feltel]

Jupp, das werd ich machen. Per telnet auf Port 53 kann ich jedenfalls von dem Bind-Rechner aus auf den Windows-Server conncecten. Ich werf tcpdump aber trotzdem mal an.

[herrchen]

Code: Alles auswählen

// Windows Domain-Controller-Zonen
zone "ad.rahndittrich.de" {
       type master;
       allow-update { any; };
       check-names ignore;
       file "/etc/bind/db.ad.rahndittrich.de";
};

vielleicht bin ich jetzt etwas "betriebsblind", aber wozu ist diese zone da? was steht da drin?
könnte man den part mal testweise auskommentieren?
wird diese zone nicht von dem DC verwaltet und könnte deshalb auch weitergeleitet werden?

herrchen

[feltel]

Sowas ähnliches ist mir auf dem Nachhauseweg auch in den Sinn gekommen. Ich hätte als nächstes mal die "Subzonen von ad.rahndittrich.de" aus der named.conf rausgenommen und komplett die Zone ad.rahndittrich.de als Forwarderzone eingerichtet. Deinen Tipp probier ich auch noch aus.

BTW: Das tcpdump hat überhaupt nix gebracht. Ich hab mal testweise Bind gestoppt und restartet während tcpdump läuft und nichtmal da versucht der Bind den Forwarder zu kontakten. Auch wenn ich von nem Client versuche aus aufzulösen kommt im tcpdump nix an.

[feltel]

Hey, es scheint zu klappen. Nach entfernen der ad.rahndittrich.de Zone kann ich auch von einem Client aus die ADS-Zonen auflösen. Ich hatte die Zone reingeschrieben da ich annahm das man Subzonen nur forwarden kann wenn man die übergeordnete Zone auch im Nameserver hat. Scheint aber nicht so zu sein.

Hab zwar jetzt grad keine Windows-Maschine da die ich mal ins ADS aufnehmen kann, aber ich denke schon das das dann jetzt klappen wird.

Danke Dir für den entscheidenden Hinweis.

[feltel]

So, das Beitreten in die Domäne klappt auch.