AD域下DNS外迁
AD域下DNS外迁,环境说明:windows 2008 R2服务器AD+DNS,一主多辅模式,主机名:level.lakyy.com,主机IP地址:192.168.0.180;bind采用的是9.10.6版本,IP地址为:192.168.0.160。
bind可以通过配置srv资源记录的模式,进行接管windows ad下的DNS,同时,bind只可以和主域控进行配置互动,配置之后不会影响终端进行加入AD域,不会影响正常的解析。配置方法如下:
一、BIND DNS配置
(1)配置关于windows ad服务器的A记录
cat lakyy.com.dnstest
$TTL 3600
@ IN SOA ns.lakyy.com. root.lakyy.com. (
1808032145
3600
1800
604800
3600 )
IN NS ns
ns 3600 IN A 192.168.0.160
level 3600 IN A 192.168.0.180(2)添加srv记录,允许客户端定位一个kerberos kdc的域,所有的DC域控制器提供kerberos服务(用于身份验证和资源访问)将进行注册这个名字。记录名称为“_kerberos._tcp”优先权0,权重0,端口88,提供服务的主机ad
cat lakyy.com.dnstest
$TTL 3600
@ IN SOA ns.lakyy.com. root.lakyy.com. (
1808032148
3600
1800
604800
3600 )
IN NS ns
_kerberos._tcp 3600 SRV 0 0 88 level
ns 3600 IN A 192.168.0.160
level 3600 IN A 192.168.0.180(3)添加srv记录,允许客户端找到一个ldap服务器level.lakyy.com域提交查询来为找到对象的活动目录。所有windows NT域控制器在level.lakyy.com域将注册这个名字。记录名称为“_ldap._tcp”,优先权0,权重0,端口389,提供服务的主机level
cat lakyy.com.dnstest
$TTL 3600
@ IN SOA ns.lakyy.com. root.lakyy.com. (
1809090945
3600
1800
604800
3600 )
IN NS ns
_kerberos._tcp 3600 SRV 0 0 88 level
_ldap._tcp 3600 SRV 0 0 389 level
ns 3600 IN A 192.168.0.160
level 3600 IN A 192.168.0.180(4)添加srv记录,允许客户端找到一个域控制器在level.lakyy.com域,所有windows NT ddomain域控制器在level.lakyy.com域将注册这个名字。记录名称为“_ldap._tcp.dc._msdcs”,优先权0,权重0,端口389,提供服务的主机level
cat lakyy.com.dnstest
$TTL 3600
@ IN SOA ns.lakyy.com. root.lakyy.com. (
1809090949
3600
1800
604800
3600 )
IN NS ns
_kerberos._tcp 3600 SRV 0 0 88 level
_ldap._tcp 3600 SRV 0 0 389 level
_ldap._tcp.dc._msdcs 3600 SRV 0 0 389 level
ns 3600 IN A 192.168.0.160
level 3600 IN A 192.168.0.180(5)添加srv记录,允许客户端找到全局编录服务器的活动目录森林,进行正常记录查找,全局目录森林将注册这个记录。记录名称为“gc._msdcs.level”,优先权0,权重0,端口3268,提供服务的主机level
cat lakyy.com.dnstest
$TTL 3600
@ IN SOA ns.lakyy.com. root.lakyy.com. (
1809090953
3600
1800
604800
3600 )
IN NS ns
_kerberos._tcp 3600 SRV 0 0 88 level
_ldap._tcp 3600 SRV 0 0 389 level
_ldap._tcp.dc._msdcs 3600 SRV 0 0 389 level
gc._msdcs.level 3600 SRV 0 0 3268 level
ns 3600 IN A 192.168.0.160
level 3600 IN A 192.168.0.180(6)添加srv记录,允许客户端找到一个域控制器运行kerberos kdc域名,命名level.lakyy.com,所有windows nt域控制器将运行kerberos服务在level.lakyy.com域,并进行注册这个名字。记录名称为“_kerberos._tcp.dc._msdcs”,优先权0,权重0,端口88,提供服务的主机level.
cat lakyy.com.dnstest
$TTL 3600
@ IN SOA ns.lakyy.com. root.lakyy.com. (
1809091133
3600
1800
604800
3600 )
IN NS ns
_kerberos._tcp.dc._msdcs 3600 SRV 0 0 88 level
gc._msdcs.level 3600 SRV 0 0 3268 level
_ldap._tcp.dc._msdcs 3600 SRV 0 0 389 level
_ldap._tcp 3600 SRV 0 0 389 level
_kerberos._tcp 3600 SRV 0 0 88 level
ns 3600 IN A 192.168.0.160
level 3600 IN A 192.168.0.180(7)配置DNS参数
view "dnstest"
{
zone "lakyy.com" IN
{
type master;
allow-update { 192.168.0.180; 192.168.0.160; 192.168.0.0/24; };
check-names ignore;
file "lakyy.com.dnstest";
};
zone "0.168.192.in-addr.arpa" IN
{
type master;
allow-update { 192.168.0.180; 192.168.0.160; 192.168.0.0/24; };
check-names ignore;
file "0.168.192.in-addr.arpa.dnstest";
};
};二、Windows 配置
(1)更改ad服务器DNS指向,将PC的DNS地址修改为bind服务器地址。
(2)使用命令“net stop/start netlogon”进行强制使AD进行注册DNS。
三、故障问题排查
(1)bind和主域控进行联动配置,无法更新动态A记录。问题原因:①bind DNS参数allow update需要把所有允许进行使用动态A的子网网段全部添加进去。②区域复制问题。使用dcdiag命令,可以进行对比排查主辅域控制器区域间复制是否存在异常。
(2)终端无法加入AD域。问题原因:①网络通讯问题,终端机器到bind DNS或者终端到AD域通信故障;②配置srv记录错误或者bind dns无法与ad域服务器进行通信。
(3)其他未尽问题,可以联系博主进行解决。谢谢