forum.opennet.ru - "Прошу помочь с интеграцией BIND 9.3.3 в Active Directory" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Прошу помочь с интеграцией BIND 9.3.3 в Active Directory"

Форумы Samba, вопросы интеграции Unix и Windows (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Прошу помочь с интеграцией BIND 9.3.3 в Active Directory"
Сообщение от goshanecr (ok) on 09-Мрт-07, 23:48
Добрый день уважаемые! Хочу реализовать полноценную систему Active Diurectory, с одним "но": Чтобы под Windows была лишь сама схема AD, а все остальное (DHCP,DNS,Proxy,Mail,Samba) крутилось на NIX (В моем случае FreeBSD 6.2 x86) и было полностью игтегрировано с AD. Начал с установки AD и поднятия DNS в BIND 9.3.3. //*************************************************************************** /etc/namedb/named.conf options { directory "/etc/namedb"; pid-file "/var/run/named/named.pid"; dump-file "/var/dump/named_dump.db"; statistics-file "/var/stats/named.stats"; listen-on {192.168.0.1; 127.0.0.1; }; }; zone "." { type hint; file "named.root"; }; zone "0.0.127.IN-ADDR.ARPA" { type master; file "master/localhost.rev"; }; zone "test.loc" { type master; file "master/db.test.loc"; allow-update {192.168.0.1; 127.0.0.1; }; }; zone "1.0.0.0.0.0.0.........0.IP6.ARPA" { type master; file "master/localhost-v6.rev"; }; //************************************************************************** /etc/namedb/master/db.test.loc $TTL 3600 @ IN SOA TEST-FreeBSD.test.loc. dnsmaster.TEST-FreeBSD.test.loc. ( 20030430 3600 900 3600000 3600) @ IN NS TEST-FreeBSD.test.loc localhost IN NS 127.0.0.1 @ IN NS 127.0.0.1 www IN CNAME @ //**************************************************************************** При запуске named никаких ошибок, в messages тоже. На Win2003 указал в качестве DNS сервера 192.168.0.1 (TEST-FreeBSD). Адрес самого Win2003 192.168.0.100 Active Directory поднялась, но вот при загрузке в системном логе появляются 2 записи: Event Type: Warning Event Source: DnsApi Event Category: None Event ID: 11165 Date: 3/6/2007 Time: 4:11:21 AM User: N/A Computer: TEST-SERV Description: The system failed to register host (A) resource records (RRs) for network adapter with settings: Adapter Name : {8CC55A0D-FE32-43B2-BF93-AD60A0731EF9} Host Name : test-serv Primary Domain Suffix : test.loc DNS server list : 192.168.0.1 Sent update to server : <?> IP Address(es) : 192.168.0.100 The reason the system could not register these RRs was because the DNS server contacted refused the update request. The reasons for this might be (a) you are not allowed to update the specified DNS domain name, or (b) because the DNS server authoritative for this name does not support the DNS dynamic update protocol. To register the DNS host (A) resource records using the specific DNS domain name and IP addresses for this adapter, contact your DNS server or network systems administrator. For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. Data: 0000: 2a 23 00 00 #.. Event Type: Warning Event Source: NETLOGON Event Category: None Event ID: 5781 Date: 3/6/2007 Time: 4:16:15 AM User: N/A Computer: TEST-SERV Description: Dynamic registration or deletion of one or more DNS records associated with DNS domain 'test.loc.' failed. These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition). Possible causes of failure include: - TCP/IP properties of the network connections of this computer contain wrong IP address(es) of the preferred and alternate DNS servers - Specified preferred and alternate DNS servers are not running - DNS server(s) primary for the records to be registered is not running - Preferred or alternate DNS servers are configured with wrong root hints - Parent DNS zone contains incorrect delegation to the child zone authoritative for the DNS records that failed registration USER ACTION Fix possible misconfiguration(s) specified above and initiate registration or deletion of the DNS records by running 'nltest.exe /dsregdns' from the command prompt or by restarting Net Logon service. Nltest.exe is available in the Microsoft Windows Server Resource Kit CD. For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. Data: 0000: 2a 23 00 00 #.. Я так из описания понял, что Win2003 не может занести запись свою в DNS. Как ему в этом помочь?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Прошу помочь с интеграцией BIND 9.3.3 в Active Directory, Mikhail, 16:43 , 10-Мрт-07, (1)

Прошу помочь с интеграцией BIND 9.3.3 в Active Directory, goshanecr, 09:32 , 11-Мрт-07, (2)

Прошу помочь с интеграцией BIND 9.3.3 в Active Directory, Mikhail, 12:54 , 11-Мрт-07, (3)

Прошу помочь с интеграцией BIND 9.3.3 в Active Directory, goshanecr, 12:19 , 12-Мрт-07, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "Прошу помочь с интеграцией BIND 9.3.3 в Active Directory"

Сообщение от Mikhail (??) on 10-Мрт-07, 16:43

Дурацкий вопрос: какова цель мероприятия? Понятно желание не устанавливать Win вообще, но раз уж он все равно есть - так пусть поддерживает СВОЮ структуру сам, к него это лучше получится. Тут уже не раз пробегала фраза на тему "из linux получается очень плохой windows"...
Чтобы такое сделать, нужно очень хорошо представлять себе, как это работает "изнутри". Т.е. изучить устройство АД, механизмы взаимодействия, авторизацию и аутентификацию всех частей, LDAP, Kerberos v.5 с учетом алгоритмов и т.д. Это, конечно, возможно, но...
А вот "подружить" различные сервисы для взаимодействия между ними - это можно. Тот же BIND прекрасно работает с MS DNS в primary/slave режимах; Samba, Squid и пр. замечательно могут использовать аутентификацию через LDAP/Kerberos/Winbind, и т.д. Если, например, настроить pam_kerberos - все это может работать достаточно прозрачно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Прошу помочь с интеграцией BIND 9.3.3 в Active Directory"

Сообщение от goshanecr (??) on 11-Мрт-07, 09:32

То что вин справляется со своими задачами лучше чем другая система не буду спорить, но ведь DNS сервер BIND является стандартом де факто, и я так думаю что в использовании именно его вместо MS DNS не должно быть чем то "из ряда вон выходящим". Поэтому еще раз прошу ответа на конкретную проблему которая у меня возникла.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Прошу помочь с интеграцией BIND 9.3.3 в Active Directory"

Сообщение от Mikhail (??) on 11-Мрт-07, 12:54

ОК.
Тогда придется начать с того, что DNS является одной из ответственнейших частей AD, необходимой для правильной работы его же (MS) Kerberos. На DNS "завязан" MS DHCP с регистрацией адресов в том же DNS, т.е. DDNS. Все эти сервисы аутентифицируются с помощью того же Kerberos, данные хранятся в том же LDAP. Так что остается только каждую часть заменить такой же, с теми же параметрами, но не-MS.
В данном конкретном случае написано английским по-белому:
"The reason the system could not register these RRs was because the DNS server contacted refused the update request"
- т.е. не настроен DDNS. Во втором событии (Event ID: 5781) даже указано, что можно при этом сделать. В случае с bind - или внести все (нужные) прямые и обратные записи вручную и ОТКЛЮЧИТЬ регистрацию в DNS, или настроить DDNS согласно документации dhcp&bind (можно, не буду ее здесь приводить?)
Кстати, это - не ошибка, связанная с AD - просто сетевой уровень не настроен для полноценной работы AD. Т.е. самое интересное, связанное именно с интеграцией, еще впереди :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Прошу помочь с интеграцией BIND 9.3.3 в Active Directory"

Сообщение от goshanecr (ok) on 12-Мрт-07, 12:19

Спасибо за ответ.
Я настроил динамические обновления DNS из DHCP через их общий секретный ключ.
Для регистрации зон AD добавил в named.conf allow-update {192.168.0.100;}; (это ип контроллера домена. Но в /var/log/messages говорится что это не очень то безопасно так делать.) При этом при введении компов в домен, в DNS они конечно не регистрируются, так как это позволено лишь с адреса 192.168.0.100 . Я так понимаю что надо как то позволить им авторизоваться по kerberos билету. Как это можно сделать? /etc/krb5.conf я настроил как надо. kinit билет выдает. Как это теперь все засунуть в named? man читал, вроде не нашел.. есть что то похожее , какие то общие ключи. Но вот конкретно на kerberos ссылок нет.
Помогите пожалуйста :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Прошу помочь с интеграцией BIND 9.3.3 в Active Directory"
Сообщение от Mikhail (??) on 10-Мрт-07, 16:43
Дурацкий вопрос: какова цель мероприятия? Понятно желание не устанавливать Win вообще, но раз уж он все равно есть - так пусть поддерживает СВОЮ структуру сам, к него это лучше получится. Тут уже не раз пробегала фраза на тему "из linux получается очень плохой windows"... Чтобы такое сделать, нужно очень хорошо представлять себе, как это работает "изнутри". Т.е. изучить устройство АД, механизмы взаимодействия, авторизацию и аутентификацию всех частей, LDAP, Kerberos v.5 с учетом алгоритмов и т.д. Это, конечно, возможно, но... А вот "подружить" различные сервисы для взаимодействия между ними - это можно. Тот же BIND прекрасно работает с MS DNS в primary/slave режимах; Samba, Squid и пр. замечательно могут использовать аутентификацию через LDAP/Kerberos/Winbind, и т.д. Если, например, настроить pam_kerberos - все это может работать достаточно прозрачно.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Прошу помочь с интеграцией BIND 9.3.3 в Active Directory"
	Сообщение от goshanecr (??) on 11-Мрт-07, 09:32
	То что вин справляется со своими задачами лучше чем другая система не буду спорить, но ведь DNS сервер BIND является стандартом де факто, и я так думаю что в использовании именно его вместо MS DNS не должно быть чем то "из ряда вон выходящим". Поэтому еще раз прошу ответа на конкретную проблему которая у меня возникла.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Прошу помочь с интеграцией BIND 9.3.3 в Active Directory"
	Сообщение от Mikhail (??) on 11-Мрт-07, 12:54
	ОК. Тогда придется начать с того, что DNS является одной из ответственнейших частей AD, необходимой для правильной работы его же (MS) Kerberos. На DNS "завязан" MS DHCP с регистрацией адресов в том же DNS, т.е. DDNS. Все эти сервисы аутентифицируются с помощью того же Kerberos, данные хранятся в том же LDAP. Так что остается только каждую часть заменить такой же, с теми же параметрами, но не-MS. В данном конкретном случае написано английским по-белому: "The reason the system could not register these RRs was because the DNS server contacted refused the update request" - т.е. не настроен DDNS. Во втором событии (Event ID: 5781) даже указано, что можно при этом сделать. В случае с bind - или внести все (нужные) прямые и обратные записи вручную и ОТКЛЮЧИТЬ регистрацию в DNS, или настроить DDNS согласно документации dhcp&bind (можно, не буду ее здесь приводить?) Кстати, это - не ошибка, связанная с AD - просто сетевой уровень не настроен для полноценной работы AD. Т.е. самое интересное, связанное именно с интеграцией, еще впереди :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Прошу помочь с интеграцией BIND 9.3.3 в Active Directory"
	Сообщение от goshanecr (ok) on 12-Мрт-07, 12:19
	Спасибо за ответ. Я настроил динамические обновления DNS из DHCP через их общий секретный ключ. Для регистрации зон AD добавил в named.conf allow-update {192.168.0.100;}; (это ип контроллера домена. Но в /var/log/messages говорится что это не очень то безопасно так делать.) При этом при введении компов в домен, в DNS они конечно не регистрируются, так как это позволено лишь с адреса 192.168.0.100 . Я так понимаю что надо как то позволить им авторизоваться по kerberos билету. Как это можно сделать? /etc/krb5.conf я настроил как надо. kinit билет выдает. Как это теперь все засунуть в named? man читал, вроде не нашел.. есть что то похожее , какие то общие ключи. Но вот конкретно на kerberos ссылок нет. Помогите пожалуйста :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]