none
Připojení klientských počítačů do domény přes jiný DNS

    Dotaz

  • Prosím zkušenější o radu nebo nasměrování. Nasazujeme do firmy AD, který je nainstalován na novém serveru WS 2012 R2. Firma doposud jela a stále jede na Linuxových serverech,na kterých běží DHCP i DNS a je přes ně přístup na NET. Ve vnitřní síti je X počítačů a mezi nimi je i nový Win server. Mám ale problém s připojováním klientských PC s Windows k doménovému řadiči, kdy mi to píše, že nelze kontaktovat řadič domény AD. Problém je asi někde v DNS. Když na stanici, kterou chci připojit do domény nastavím ručně primární DNS server přímo na Win server s AD, tak to funguje bez problému. Pokud ale počítači přidělí nastavení sitě linuxový DHCP server, kdy je stanicím nastavem primární DNS na ten linuxový DNS a přes něj ta komunikace běží, tak to doménový řadič nemůže najít. Lze se vůbec domény připojovat přes nějaký jiný DNS (v tomto případě linuxový) ? V linuxovém DNS je vytvořen záznam pro překlad na název počítače WS 2012 R2 i je tam vytvořena nová doména domena.local, oba směrují na IP WS 2012 R2 s AD. Lze se na ně z klientských PC dopingnout, ale doménový řadič to přesto nenajde.

    Díky za TIPy

    pátek 2. října 2015 7:05

Odpovědi

  • Ahoj.

    DNS bys měl mít vždy na doménovém řadiči (řadičích - měl bys mít alespoň dva). Používání DNS jinde je cesta do pekel. Jednak je to oficiálně nepodporované (pokud se něco nezměnilo) a druhak i když to třeba nějak rozchodíš, tak se budeš potkávat v budoucnu s naprosto neočekávanými podivnými problémy. Takže rozhodně to nedělej a DNS a ideálně i DHCP dej na doménové řadiče.

    Ve skutečnosti to ani není důvod mít na linuxu, protože na Windows DHCP i DNS funguje naprosto spolehlivě.

    pátek 2. října 2015 8:04
  • Aby fungovala AD, je potreba rozhodne vice DNS zaznamu, nez jen A. Pres DNS se hledaji DC, GC, LDAP, site...

    Podivejte se do MS DNS - vetve _MSDCS, _sites, _TCP ...

    Mate v podstate 3 moznosti:

    1. V DHCP zverejnovat Windows DNS. Windows DNS nechat forwardovat na Linux DNS = stanice s Windows najdou co potrebuji, najdou i zaznamy, ktere jsou definovane v linuxu.

    2. povolit dynamicke update na linuxovem DNS. MS DC servery nasmerovat na ne a nechat sluzbu NETLOGON, aby si zaregistrovala, co potrebuje. Tj prestat pouzivat MS DNS. Namet treba zde: http://www.serverlab.ca/tutorials/linux/network-services/using-linux-bind-dns-servers-for-active-directory-domains/

    3. pridat rucne do linux DNS zaznamy. Jsou v %SYSTEMROOT%\system32\config\netlogon.dns. Pri jakekoliv zmene v AD (napriklad pridani noveho DC, zmeny IP apod.) tyto zaznamy opet rucne aktualizovat.

    Klonim se k variante 1, ktera je nejmene bolestiva a nicemu nevadi.


    pátek 2. října 2015 8:14
  • No samozrejme se to da, ale ... po instalaci domenoveho radice se vytvori zonovy soubor C:\WINDOWS\system32\config\netlogon.dns

    Ten je treba sloucit po radicich a ulozit na ne-windowsacky DNS (sloucit se stavajici zonou existuje-li)

    A/nebo je potreba povolit dynamickou registraci do DNSka.

    Takze asi sami spravci linuxovych DNS prijdou na to, ze je DNSka potreba mit na windows, pac to nedaji ...

    M.

    pátek 2. října 2015 10:09
    Vlastník
  • Zadelal jste si na dalsi problemy. Mne ale fascinuje, ze nepadlo ani slovo, proc budujete heterogenni system. Jaka je ta klicova aplikace/funkcionalita, kterou potrebujete a proc jsou v infrastrukture dva dost rozdilne operacni systemy. Kdo za to bude zodpovidat jako celek a kdo se postara o bezpecnost systemu...(?)

    Take mi tu chybi SSO...

    M.


    pátek 2. října 2015 15:49
    Vlastník

Všechny reakce

  • Ahoj.

    DNS bys měl mít vždy na doménovém řadiči (řadičích - měl bys mít alespoň dva). Používání DNS jinde je cesta do pekel. Jednak je to oficiálně nepodporované (pokud se něco nezměnilo) a druhak i když to třeba nějak rozchodíš, tak se budeš potkávat v budoucnu s naprosto neočekávanými podivnými problémy. Takže rozhodně to nedělej a DNS a ideálně i DHCP dej na doménové řadiče.

    Ve skutečnosti to ani není důvod mít na linuxu, protože na Windows DHCP i DNS funguje naprosto spolehlivě.

    pátek 2. října 2015 8:04
  • Aby fungovala AD, je potreba rozhodne vice DNS zaznamu, nez jen A. Pres DNS se hledaji DC, GC, LDAP, site...

    Podivejte se do MS DNS - vetve _MSDCS, _sites, _TCP ...

    Mate v podstate 3 moznosti:

    1. V DHCP zverejnovat Windows DNS. Windows DNS nechat forwardovat na Linux DNS = stanice s Windows najdou co potrebuji, najdou i zaznamy, ktere jsou definovane v linuxu.

    2. povolit dynamicke update na linuxovem DNS. MS DC servery nasmerovat na ne a nechat sluzbu NETLOGON, aby si zaregistrovala, co potrebuje. Tj prestat pouzivat MS DNS. Namet treba zde: http://www.serverlab.ca/tutorials/linux/network-services/using-linux-bind-dns-servers-for-active-directory-domains/

    3. pridat rucne do linux DNS zaznamy. Jsou v %SYSTEMROOT%\system32\config\netlogon.dns. Pri jakekoliv zmene v AD (napriklad pridani noveho DC, zmeny IP apod.) tyto zaznamy opet rucne aktualizovat.

    Klonim se k variante 1, ktera je nejmene bolestiva a nicemu nevadi.


    pátek 2. října 2015 8:14
  • Děkuji za odpovědi! Měl jsem tušení, že to tak nějak bude lepší nemíchat s linux DNS. Pokusím se přesvědčit linuxáře k převedení DHCP a DNS na WIN...

    pátek 2. října 2015 9:05
  • No samozrejme se to da, ale ... po instalaci domenoveho radice se vytvori zonovy soubor C:\WINDOWS\system32\config\netlogon.dns

    Ten je treba sloucit po radicich a ulozit na ne-windowsacky DNS (sloucit se stavajici zonou existuje-li)

    A/nebo je potreba povolit dynamickou registraci do DNSka.

    Takze asi sami spravci linuxovych DNS prijdou na to, ze je DNSka potreba mit na windows, pac to nedaji ...

    M.

    pátek 2. října 2015 10:09
    Vlastník
  • Zadelal jste si na dalsi problemy. Mne ale fascinuje, ze nepadlo ani slovo, proc budujete heterogenni system. Jaka je ta klicova aplikace/funkcionalita, kterou potrebujete a proc jsou v infrastrukture dva dost rozdilne operacni systemy. Kdo za to bude zodpovidat jako celek a kdo se postara o bezpecnost systemu...(?)

    Take mi tu chybi SSO...

    M.


    pátek 2. října 2015 15:49
    Vlastník
  • Protože firma vyvíjí své finální produkty výhradně v Linuxu. Máme tady SW oddělení jedoucí jen na Linuxu, pak HW oddělení pracující na Linux + Windows (protože mraky vývojových systému pod Linuxem nejedou) a v neposlední řadě je tady mraky lidí, jako je marketing, zasobovaní, výrobní dílny, servis, atd, kteří jedou jen na Windows. Původně byly hlavní servery jen linuxové. Žádná doména. A jelikož se firma rozrostla 10x, tak tohle řešíme...
    čtvrtek 28. července 2016 7:11
  • Vitej z5 po roce ... :-O

    MP

    čtvrtek 28. července 2016 7:24
    Vlastník
  • Dík ;) , jen jsem chtěl doplnit odpověď na otázku, aby bylo téma kompletní (i když je to už starší téma)...
    čtvrtek 28. července 2016 18:41
  • Obvykle reseni:

    DHCP dava DNS na Windows DC DNS, ktere je primarni pro domena.local = vsichni primarne pouzivaji DC DNS

    V DC DNS je conditional forwarder pro firma.cz na linux DNS.

    Vysledkem je, ze windows i linux stroje jsou spokojene a linuxari maji dobry pocit, ze si ridi svoji cast sveta.

    pátek 29. července 2016 8:15
  • Neni az takovy problem i pro AD pouzivat napr. BIND. Tedy pokud to vasi linuxaci umeji nastavit ... aspon staticky (dej jim sobory C:\WINDOWS\system32\config\netlogon.dns z DCs, at se staraji), nebo idealne povolit dynamicke registrace aspon tech radicu.

    MP

    pátek 29. července 2016 13:46
    Vlastník