AD域下DNS外遷,環境說明:windows 2008 R2服務器AD+DNS,一主多輔模式,主機名:level.lakyy.com,主機IP地址:192.168.0.180;bind採用的是9.10.6版本,IP地址爲:192.168.0.160。
bind可以通過配置srv資源記錄的模式,進行接管windows ad下的DNS,同時,bind只可以和主域控進行配置互動,配置之後不會影響終端進行加入AD域,不會影響正常的解析。配置方法如下:
一、BIND DNS配置
(1)配置關於windows ad服務器的A記錄
cat lakyy.com.dnstest $TTL 3600 @ IN SOA ns.lakyy.com. root.lakyy.com. ( 1808032145 3600 1800 604800 3600 ) IN NS ns ns 3600 IN A 192.168.0.160 level 3600 IN A 192.168.0.180
(2)添加srv記錄,允許客戶端定位一個kerberos kdc的域,所有的DC域控制器提供kerberos服務(用於身份驗證和資源訪問)將進行註冊這個名字。記錄名稱爲“_kerberos._tcp”優先權0,權重0,端口88,提供服務的主機ad
cat lakyy.com.dnstest $TTL 3600 @ IN SOA ns.lakyy.com. root.lakyy.com. ( 1808032148 3600 1800 604800 3600 ) IN NS ns _kerberos._tcp 3600 SRV 0 0 88 level ns 3600 IN A 192.168.0.160 level 3600 IN A 192.168.0.180
(3)添加srv記錄,允許客戶端找到一個ldap服務器level.lakyy.com域提交查詢來爲找到對象的活動目錄。所有windows NT域控制器在level.lakyy.com域將註冊這個名字。記錄名稱爲“_ldap._tcp”,優先權0,權重0,端口389,提供服務的主機level
cat lakyy.com.dnstest $TTL 3600 @ IN SOA ns.lakyy.com. root.lakyy.com. ( 1809090945 3600 1800 604800 3600 ) IN NS ns _kerberos._tcp 3600 SRV 0 0 88 level _ldap._tcp 3600 SRV 0 0 389 level ns 3600 IN A 192.168.0.160 level 3600 IN A 192.168.0.180
(4)添加srv記錄,允許客戶端找到一個域控制器在level.lakyy.com域,所有windows NT ddomain域控制器在level.lakyy.com域將註冊這個名字。記錄名稱爲“_ldap._tcp.dc._msdcs”,優先權0,權重0,端口389,提供服務的主機level
cat lakyy.com.dnstest $TTL 3600 @ IN SOA ns.lakyy.com. root.lakyy.com. ( 1809090949 3600 1800 604800 3600 ) IN NS ns _kerberos._tcp 3600 SRV 0 0 88 level _ldap._tcp 3600 SRV 0 0 389 level _ldap._tcp.dc._msdcs 3600 SRV 0 0 389 level ns 3600 IN A 192.168.0.160 level 3600 IN A 192.168.0.180
(5)添加srv記錄,允許客戶端找到全局編錄服務器的活動目錄森林,進行正常記錄查找,全局目錄森林將註冊這個記錄。記錄名稱爲“gc._msdcs.level”,優先權0,權重0,端口3268,提供服務的主機level
cat lakyy.com.dnstest $TTL 3600 @ IN SOA ns.lakyy.com. root.lakyy.com. ( 1809090953 3600 1800 604800 3600 ) IN NS ns _kerberos._tcp 3600 SRV 0 0 88 level _ldap._tcp 3600 SRV 0 0 389 level _ldap._tcp.dc._msdcs 3600 SRV 0 0 389 level gc._msdcs.level 3600 SRV 0 0 3268 level ns 3600 IN A 192.168.0.160 level 3600 IN A 192.168.0.180
(6)添加srv記錄,允許客戶端找到一個域控制器運行kerberos kdc域名,命名level.lakyy.com,所有windows nt域控制器將運行kerberos服務在level.lakyy.com域,並進行註冊這個名字。記錄名稱爲“_kerberos._tcp.dc._msdcs”,優先權0,權重0,端口88,提供服務的主機level.
cat lakyy.com.dnstest $TTL 3600 @ IN SOA ns.lakyy.com. root.lakyy.com. ( 1809091133 3600 1800 604800 3600 ) IN NS ns _kerberos._tcp.dc._msdcs 3600 SRV 0 0 88 level gc._msdcs.level 3600 SRV 0 0 3268 level _ldap._tcp.dc._msdcs 3600 SRV 0 0 389 level _ldap._tcp 3600 SRV 0 0 389 level _kerberos._tcp 3600 SRV 0 0 88 level ns 3600 IN A 192.168.0.160 level 3600 IN A 192.168.0.180
(7)配置DNS參數
view "dnstest" { zone "lakyy.com" IN { type master; allow-update { 192.168.0.180; 192.168.0.160; 192.168.0.0/24; }; check-names ignore; file "lakyy.com.dnstest"; }; zone "0.168.192.in-addr.arpa" IN { type master; allow-update { 192.168.0.180; 192.168.0.160; 192.168.0.0/24; }; check-names ignore; file "0.168.192.in-addr.arpa.dnstest"; }; };
二、Windows 配置
(1)更改ad服務器DNS指向,將PC的DNS地址修改爲bind服務器地址。
(2)使用命令“net stop/start netlogon”進行強制使AD進行註冊DNS。
三、故障問題排查
(1)bind和主域控進行聯動配置,無法更新動態A記錄。問題原因:①bind DNS參數allow update需要把所有允許進行使用動態A的子網網段全部添加進去。②區域複製問題。使用dcdiag命令,可以進行對比排查主輔域控制器區域間複製是否存在異常。
(2)終端無法加入AD域。問題原因:①網絡通訊問題,終端機器到bind DNS或者終端到AD域通信故障;②配置srv記錄錯誤或者bind dns無法與ad域服務器進行通信。
(3)其他未盡問題,可以聯繫博主進行解決。謝謝