← Вернуться в раздел «В помощь системному администратору»

» DNS: Active Directory и BIND

Автор: mattveiko
Дата сообщения: 12.06.2011 15:36

Здравствуйте. Делаю шлюз на FreeBSD, внутренняя сеть с server 2008r2 и AD. Хочется чтобы было так:
1. днс на win-сервере обслуживает только внутреннюю зону, за внешними адресами ходит на bind, у клиентов прописан как первичный днс.
2. bind знает про внутренние зоны (чтобы мог работать как вторичный днс) и разрешает внешние адреса (перенаправление на днс провайдера)

Что сделано:
1. поднят днс на win-сервере. адрес bind указал во вкладке "серверы пересылки", разрешил передачу зон на bind

2. на bind в named.conf написано:
listen-on { 127.0.0.1; 192.168.61.1;};
forwarders { 81.26.129.5;};
zone "firm.local" {
type master;
file "/etc/namedb/dynamic/firm.local";
allow-update {
192.168.61.2; 127.0.0.1;
};
check-names ignore;
};

zone "61.168.192.in-addr.arpa" {
type master;
file "/etc/namedb/dynamic/61.168.192.in-addr.arpa";
allow-update {
192.168.61.2; 127.0.0.1;
};
check-names ignore;
};
файлы с зонами тоже есть

т.е. как я понимаю, у меня сейчас хранятся две главные зоны, обновляющиеся с 192.168.61.12, а те записи, которых нет в зонах bind отправляет днс-серверу провайдера

3. на клиентах настройки такие
адрес 192.168.61.3
маска 255.255.255.0
шлюз 192.168.61.1 <-----bind

первичный днс 192.168.61.2 <----- server 2008
вторичный днс 192.168.61.1 <-----bind

в принципе работает.

но если я делаю на клиенте:
nslookup rs1 <------- контроллер домена
Server: ugtel.ru
Address: 81.26.129.5
ugtel.ru не удалось найти rs1.firm.local: Non-existent domain.

То есть где-то ошибся. Но вместе с этим уже успел завести все машины в домен и ошибок в журналах как-то связанных с недоступностью контроллера домена не видел.
Подскажите, что я неправильно сделал?

Автор: gloomymen
Дата сообщения: 12.06.2011 15:58

Server: ugtel.ru
Address: 81.26.129.5
откуда клиенту это известно? dhcp раздает? проверьте список ns серверов на клиенте

Автор: vlary
Дата сообщения: 12.06.2011 16:00

mattveiko У тебя религиозные предубеждения против использования фильтра по разделу?
Фильтр по bind дает
Кеширующий DNS сервер для локальной сети на основе BIND 9
BINd98 как DNS для AD 2003
Primary BIND Secondary Mycrosoft DNS
и еще многое другое

Автор: mattveiko
Дата сообщения: 12.06.2011 16:42

не, я не против фильтра. хорошая штука. только вот читал я все это, много думал и решил написать сюда. надеюсь, вы не против?

так, в общем небольшое, но важное уточнение. проблема воспроизводится только на самом контроллере домера. (rs1.firm.local). остальные клиенты все разрешают правильно.
ns сервера - rs1.firm.local <-------- КД
rgw1.firm.local <------ bind

в обратной зоне то же самое

81.26.129.5 записан только в одном месте - в forwarders в named.conf.

Автор: vlary
Дата сообщения: 12.06.2011 16:55

mattveiko
Цитата:

проблема воспроизводится только на самом контроллере домена. (rs1.firm.local).

На самом контроллере домена в качестве DNS сервера также нужно указывать локальный, а не внешний DNS.

Автор: mattveiko
Дата сообщения: 12.06.2011 17:24

так и сделано.
первичный - 192.168.61.2
альтернативный - 192.168.61.1

в свойствах днс сервера - пересылка на 192.168.61.1

убрал альтернативный сервер - все равно имена разрешать лезет на 81.26.129.5

подумал, может в зонах накосячил
изменил в bind тип зоны - сделал ее slave, жду пока загрузится.

Автор: gloomymen
Дата сообщения: 12.06.2011 17:27

дело не в сервере а в резольвере, учите матчасть
на сервере
Код: ipconfig /all | find "DNS"

Автор: mattveiko
Дата сообщения: 12.06.2011 17:35

охренеть

с меня пиво,
ты же из краснодара вроде? спасибо большое

Страницы: 1

Предыдущая тема: Установка программы через скрипт в GPO

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.