LINUX.ORG.RU
ФорумAdmin

Пытаюсь сдружить AD (Win2000/Win2003 Rep) и Bind9


0

0

Всем привет! Возникла большая проблема, из за которой клиентские части часто выдают сообщение о том, что не могут найти контроллер домена, который за всё отвечает и так далее.

Есть два сервера с репликацией, и есть клиентские части, и есть DNS, который в этой системе работает и форвардит все запросы на провайдерские DNS.

Bind используется в этой связке для того, чтобы хранить названия хостов, где расположены сервисы, которые использует AD в своих целях, и рабочих станций в сети.

Вот как он сконфигурирован:

acl DC-kl.local { 192.168.1.8; 192.168.1.23; };

// controls { // inet 127.0.0.1 allow { localhost; 192.168.1.23; 192.168.1.8; } keys { «rndc-key»; }; // };

zone «_msdcs.kl.local» { type master; allow-update { DC-kl.local; }; check-names ignore; file «masters/_msdcs.kl.local.db»; };

zone «_sites.kl.local» { type master; allow-update { DC-kl.local; }; check-names ignore; file «masters/_sites.kl.local.db»; };

zone «_tcp.kl.local» { type master; allow-update { DC-kl.local; }; check-names ignore; file «masters/_tcp.kl.local.db»; };

zone «_udp.kl.local» { type master; allow-update { DC-kl.local; }; check-names ignore; file «masters/_udp.kl.local.db»; };

Со стороны сервера при попытке в зоны что то записать выпадает следующее:

Тип события: Предупреждение Источник события: DnsApi Категория события: Отсутствует Код события: 11166 Дата: 02.02.2010 Время: 16:39:13 Пользователь: Н/Д Компьютер: kl-st01 Описание: Не удалось зарегистрировать записи ресурсов (RR) узлов (A) для сетевого адаптера с параметрами:

Имя адаптера: {97179E32-A5C1-45D0-AF9F-F9AC2A79E261} Имя узла: kl-st01 Суффикс основного домена: kl.local Список DNS-серверов: 192.168.1.228, 192.168.1.8 Отправка обновления на сервер: 192.168.1.228 IP-адрес (адреса): 192.168.1.23

Не удалось выполнить регистрацию этих RR в DNS из-за проблем, связанных с безопасностью. Это могло произойти по одной из следующих причин: (а) DNS-имя домена, которое ваш компьютер пытается зарегистрировать, не может быть обновлено, поскольку ваш компьютер не имеет соответствующих прав; (б) возможно, не удается выполнить согласование учетных данных для проверки подлинности с DNS-сервером.

Можно попытаться зарегистрировать сетевой адаптер и его параметры вручную, введя команду «ipconfig /registerdns» в командной строке. Если проблема сохранится, обратитесь к системному администратору DNS-сервера или системному администратору вашей сети. Код конкретной ошибки содержится в отображаемых ниже данных.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". Данные: 0000: 39 23 00 00 9#..

Тип события: Предупреждение Источник события: NTDS Replication Категория события: DS RPC-клиент Код события: 2088 Дата: 29.01.2010 Время: 13:14:54 Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД Компьютер: kl-st01 Описание: Active Directory не может использовать DNS для разрешения указанного ниже IP—адреса исходного контроллера домена. Чтобы сохранить согласованность групп безопасности, групповой политики, пользователей и компьютеров и их паролей, Active Directory была успешно реплицирована с помощью NetBIOS или полное доменное имя исходного контроллера домена.

Неправильная настройка DNS может влиять на другие важные операции на рядовых компьютерах, контроллерах домена или серверах приложений в лесе этой службы каталогов Active Directory, включая проверку подлинности при входе или доступ к сетевым ресурсам.

Следует как можно скорее исправить ошибку настройки DNS, чтобы этот контроллер домена мог выполнять разрешение IP—адреса исходного контроллера домена с помощью DNS.

Имя альтернативного сервера: server Ошибочное имя узла DNS: bbc11535-85eb-4210-b363-8ce3c2be536d._msdcs.kl.local

Примечание: по умолчанию, не более 10 ошибок DNS отображаются для любого 12—часового периода, даже если произошло более 10 ошибок. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1:

Раздел реестра: HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

Действие пользователя:

1) Если исходный контроллер домена больше не функционирует, или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.

2) Убедитесь, что исходный контроллер домена несет службу каталогов Active Directory и доступен в сети, введя команду «net view \\<source DC name>» или «ping <source DC name>».

3) Проверьте, что исходный контроллер домена использует правильный DNS—сервер для служб DNS, и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на http://www.microsoft.com/dns

dcdiag /test:dns

4) Проверьте, что конечный контроллер домена использует правильный DNS—сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду:

dcdiag /test:dns

5) При дальнейшем исследовании ошибок DNS ознакомьтесь со статьей KB 824449: http://support.microsoft.com/?kbid=824449

Дополнительные данные: Ошибка: 11004 Запрошенное имя верно, но данные запрошенного типа не найдены.

В логах я нашёл вот что:

Feb 12 19:45:42 perfect named[30209]: client 192.168.1.8#2928: updating zone '_msdcs.kl.local/IN': error: journal open failed: unexpected error Feb 12 19:45:42 perfect named[30209]: client 192.168.1.8#2931: updating zone '_tcp.kl.local/IN': adding an RR at '_kerberos._tcp.kl.local' SRV Feb 12 19:45:42 perfect named[30209]: journal file masters/_tcp.kl.local.db.jnl does not exist, creating it Feb 12 19:45:42 perfect named[30209]: masters/_tcp.kl.local.db.jnl: create: permission denied Feb 12 19:45:42 perfect named[30209]: client 192.168.1.8#2931: updating zone '_tcp.kl.local/IN': error: journal open failed: unexpected error Feb 12 19:45:42 perfect named[30209]: client 192.168.1.8#2934: updating zone '_sites.kl.local/IN': adding an RR at '_kerberos._tcp.Default-First-Site-Name._sites.kl.local' SRV Feb 12 19:45:42 perfect named[30209]: journal file masters/_sites.kl.local.db.jnl does not exist, creating it Feb 12 19:45:42 perfect named[30209]: masters/_sites.kl.local.db.jnl: create: permission denied Feb 12 19:45:42 perfect named[30209]: client 192.168.1.8#2934: updating zone '_sites.kl.local/IN': error: journal open failed: unexpected error Feb 12 19:45:42 perfect named[30209]: client 192.168.1.8#2937: updating zone '_tcp.kl.local/IN': adding an RR at '_gc._tcp.kl.local' SRV Feb 12 19:45:42 perfect named[30209]: journal file masters/_tcp.kl.local.db.jnl does not exist, creating it Feb 12 19:45:42 perfect named[30209]: masters/_tcp.kl.local.db.jnl: create: permission denied Feb 12 19:45:42 perfect named[30209]: client 192.168.1.8#2937: updating zone '_tcp.kl.local/IN': error: journal open failed: unexpected error Feb 12 19:45:42 perfect named[30209]: client 192.168.1.8#2940: updating zone '_sites.kl.local/IN': adding an RR at '_gc._tcp.Default-First-Site-Name._sites.kl.local' SRV

В папке, где хранятся сами зоны, все права выставлены на bind, почему permissions denied - лично я не понимаю.

Может быть, кто нибудь сталкивался с аналогичной проблемой при подстановки сторонних сервисов?

читай внимательно статью по которой настраивал

dimon555 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.