web-dev-qa-db-ja.com

public unix dnsを使用するActiveDirectory(MS DNSなし)

大学の学部用に新しいActiveDirectoryインスタンスをセットアップしています。以前の仕事(NT4/2k/2003)でドメインを管理した経験はありますが、ここの環境には2つのユニークな点があります。ネットワークは100%パブリックIPアドレススペース(事実上ファイアウォールはなく、すべてDNSはパブリックDNSです)およびDNSは集中管理されます(UNIXではBINDであり、サブドメインを委任したり、サーバーへの動的DNS更新を許可したりしません。)

プライベートDNSまたは分割DNSは使用できないため、ドメイン(ad.dept.univ.edu)のSRVレコードにはパブリックDNSを介してアクセスできます。 DNSは公開されていますが、キャンパス内のマシンのみがドメインコントローラーに接続できるようにファイアウォールを設定します。 Windows Server2008r2を実行している2つのADコントローラーがあります。これは基本的に認証専用ドメインであり、Windowsファイルサーバーを実行していません。ほとんどのクライアントマシンがドメインに参加したり、ドメインコントローラーに対して直接認証したりすることはありません。このドメインは、ほとんどの場合、アプライアンスとアプリケーションに一元化されたAD統合認証を提供するだけです。

  • MS DNSを有効にせずにADコントローラーをセットアップするプロセスは何ですか?
  • どのDNSレコード(SRVまたはその他)を追加する必要がありますか?サーバーをドメインコントローラーにする前に存在する必要がありますか、それとも後に追加する必要がありますか?
  • そのような環境でうまく動作しないものはありますか? DCの追加/削除にはDNSを手動で編集する必要があることは知っていますが、それはそうですか?

Samba4 + OpenLDAPが問題にならないと思うなら、私は間違いなく興味がありますが、ここに返信するのではなく、新しいwikiの質問に答えてください。

domain-name-systemactive-directorysambawindows-server-2008-r2samba4
5
notpeter

User56886にはそのほとんどが含まれていたため、正しい方向に進むことができましたが、ドメイン(dept.univ.edu)とActive Directoryコントローラー(ad.dept)で機能したDNSレコード(先頭の下線に注意)の完全なリストを次に示します。 univ.edu)。 TTL /重み/優先度はあなた次第です。以下の600、0、100を使用しました。

 _ service._proto.name TTLクラスSRV優先ウェイトポートターゲット
 
 _gc._tcp.dept.univ.edu。600INSRV 0 100 3268ad.dept.univ.edu。
 _gc._tcp.Default-First-Site-Name._sites.dept.univ.edu。600INSRV 0 100 3268ad.dept.univ.edu。
 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.dept.univ.edu。600INSRV 0 100 88ad.dept.univ.edu。
 _ kerberos._tcp .Default-First-Site-Name._sites.dc._msdcs.dept.univ.edu。600INSRV 0 100 88ad.dept.univ.edu。
 _ kerberos._tcp.dc._msdcs.dept。 univ.edu。600INSRV 0 100 88ad.dept.univ.edu。
 _kerberos._tcp.dept.univ.edu。600INSRV 0 100 88ad.dept.univ.edu。
 _kerberos._udp.dept.univ.edu。600INSRV 0 100 88ad.dept.univ.edu。
 _kpasswd._tcp.dept.univ.edu。600INSRV 0 100 464 ad.dept .univ.edu。
 _kpasswd._udp.dept.univ.edu。600INSRV 0 100 464ad.dept.univ.edu。
 _ ldap._tcp.Default-First-Site-Name ._sites.dc._msdcs.dept.univ.edu。600INSRV 0100389ad.dept.univ.edu。
 _ l dap._tcp.Default-First-Site-Name._sites.dc.dept.univ.edu。 600 IN SRV 0100389ad.dept.univ.edu。
 _ ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.dept.univ.edu。 600 IN SRV 0 100 3268ad.dept.univ.edu。
 _ ldap._tcp.dc._msdcs.dept.univ.edu。 600 IN SRV 0100389ad.dept.univ.edu。
 _ ldap._tcp.dept.univ.edu。 600 IN SRV 0100389ad.dept.univ.edu。
 _ ldap._tcp.gc._msdcs.dept.univ.edu。 600 IN SRV 0100389ad.dept.univ.edu。
 _ ldap._tcp.pdc._msdcs.dept.univ.edu。 600 IN SRV 0100389ad.dept.univ.edu。

さらに、ドメイン用に生成されたSECIDに依存する2つのレコード(SRVレコードとCNAME)もあります。

 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx._msdcs.dept.univ.edu CNAMEad.dept.univ.edu。
 _ ldap._tcp.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx。 _msdcs.dept.univ.edu。 600 IN SRV 0100389ad.dept.univ.edu。

また、(明らかに)ドメインコントローラーのAレコードが必要です。

参照: Oreilly's Active Directory 5th Edition の154ページ( Safari Books Online からも入手可能)。

1
notpeter

私の環境によく似ていますが、DNS委任を取得できるのは私だけです。

ダイナミックDNSを必要としないADDNS環境をセットアップするのは非常に難しいですが、可能性ありです。すべてのSRVレコードと、必要なNSおよびドメインのAレコード)を手動で入力する必要があります。PTRレコードはそれほど重要ではありません。ドメインにマシンを追加したり、ドメインからマシンを削除したりする場合、これは長期的にはサポートされる可能性もあります。

パブリックIPアドレススペースに汗を流さないでください。それがファイアウォールの目的です。邪悪な手段があなたを見ることができるからといって、彼らがあなたに触れることができるという意味ではありません。

12
sysadmin1138

私はこれを行い、DNSサーバー上のwebminを介して管理しました。 * webminを介したDNSレコードの追加は非常に簡単です。設定ファイルを介して手動で行うよりもはるかに優れています。

必要なサービス記録:

名前TTL優先ウェイトポートサーバー
gc.tcp.domain 600 0 100 3268server-name.domain。
kerberos.tcp.dc._msdcs.domain。 600 0 100 88server-name.domain。
kerberos.tcp.domain。 600 0 100 88server-name.domain。
kerberos.udp.domain。 600 0 100 88server-name.domain。
kpasswd.tcp.domain。 600 0 100 464server-name.domain。
kpasswd.udp.domain。 600 0 100 464server-name.domain。
ldap.tcp.dc._msdcs.domain。 600 0 100 389server-name.domain。
ldap.tcp.gc .msdcs.domain。6000 100 3268server-name.domain。
ldap.tcp.pdc。msdcs.domain。 600 0 100 389server-name.domain。
ldap.tcp.domain。 600 0 100 389server-name.domain。
ldap.tcp.domain。 600 0 100 3268server-name.domain。
msdcs.tcp.domain。 600 0 100 389server-name.domain。
すべて選択。 |選択を反転します。

サービスレコードに加えて、適切なAレコードが必要です。

gc._msdcs.domain。 600IPアドレス

また、コマンドラインを介してADサーバーにDNSを登録することを忘れないでください:ipconfig/registerdns

それでも機能しない場合は、ADサーバーのイベントビューアに、ヒットしようとしているDNSレコードを示す明確なメッセージが表示されます。

7
user56886

ドメインコントローラーとして使用するマシンにDNSサーバーをインストールし、ドメインコントローラーにsrvレコードを自動入力させて、バインド管理者に提供できるコピーを作成します。その後、ゾーンデータがかなり静的であるように聞こえ、WindowsDNSサーバーを破棄できるはずです。

質問の言い方をすると、キャンパスに他のActiveDirectoryベースのフォレストがあるかのように聞こえます。彼らはDNSの問題をどのように解決していますか?既存のドメイン/フォレストに参加するチャンスはありますか?

0
johnh