DDNS mit BIND für Windows 2003 DC Server mit ADS konfigurieren
Ich werde hier eine Lösung vorstellen, wie man so etwas realisieren kann
Ich kann mir schon gut vorstellen, dass sich so mancher Administrator darüber viele Gedanken gemacht hat. Umstellen auf eine neue Microsoft Windows NT 5.0/5.2 Domäne mit einem Actice Directory System, aber seinen BIND DNS Server will man eigentlich weiter benutzen. Diese kleine Anleitung ist nicht für diejenigen Admins interessant, die Ihre Windows Rechner auch mit Hilfe des dynamischen DNS Server verwalten wollen. Da gibt es einen 4-Zeiler:
- Microsoft Windows Server mit Active Directory installieren
- Microsoft Windows DNS Server + Dienst auf den DC's installieren
- Microsoft Windows Rechner auf diese DC DNS Server umstellen
- BIND DNS Server als "forward" Server auf den Microsoft DC's DNS Servern eintragen
- fertig
Diese kleine Anleitung richtet sich mehr an die Admins, die lieber ihren BIND weiter behalten wollen und alle Neuerungen im DNS lieber selber oder mit einem Frontend machen wollen, aber bei der Installation nicht alle Einträge für die DC und ADS Server. Eine etwas genauere Beschreibung findet Ihr im Vorwort.
- Vorwort
- Installation des ersten Microsoft Windows DC Server
- Dynamisches DNS mit dem Bind Server
- Konfiguration des BIND DNS Servers
- Erneuter Installationsversuch des ersten Microsoft Windows DC Server
- Wichtige Informationen zum dynamischen BIND DNS Server
Vorwort
Was ich damit im Detail meine ist folgendes. Bei uns im Betrieb
wollen wir (leider) die
Microsoft Windows NT 4.0 PDC und BDC Server
gegen die neuen Microsoft Windows NT 5.2 DC Server mit Active Directory
ersetzen. Mit anderen Worten, die wollen eine neue Domäne auf NT 5.2
aufbauen um die alte NT 4.0 abzustellen. Eigentlich schade, denn ich
habe vor ein paar Tagen gelesen, daß wohl bis Ende 2005 der Samba 4
Server auch einen DC für eine NT 5.1/5.2 Domäne sein kann. Schade (nur
so als Info nebenbei). Windows NT 5.2 (2003) Server benötigen eine DNS
Server um die Domäne aufzubauen, damit sich die DC untereinander finden
und die Windows NT 5.0 und NT 5.1 Clients ihre Anmeldeserver für Ihre
Domäne finden und kennen. In diesem Fall ist es das Einfachste für den
Domänen Administrator den einen DC, oder auch allen DC einen
dynamischen DNS Server zu installieren, in dem sich die Clienst nach
Lust und Laune eintragen können, und nach dem Windowsinstallationsgesetz
würde auch kein Windows Admin den DNS konfiurieren, die
Standardeinstellungen werden doch fast immer übernommen.
Was ist aber, wenn man
schon einen DNS Server (bind) unter Linux/Unix/Windows am laufen hat?
Der DNS Administrator sein Netzwerk sehr strukturiert aufgebaut hat?
Genau diesen Administrator grault es davor, einen dynamischen DNS
Server unter Windows laufen zu lassen wo jeder, einen Rechner mit einer
beliebigen IP Adresse in das Netz/Domäne
hängt und dem DNS Server keine Beachtung schenkt. Diejenigen dem DNS
Administrator
von seinem Experimenten natürlich auch nichts erzält. Ich denke mal,
nach einem halben Jahr ist das große Chaos perfekt. Doppelt vergebene
IP Adressen, nie existierende Rechner oder sonstiger Müll tummelt sich
in dem DNS Server.
Bei dieser Vorstellung bekommt der DNS Administrator
jetzt schon graue Haare und wünsche sich das nicht, zumal da im
Betrieb sehr viel an die IP Adresse gebunden ist, nicht nur die
Workstation selber, sondern auch andere Anwendungen die auf diese
Adresse eingestellt werden müssen. Genau aus diesem Grunde vergeben wir
die IP Adressen auch statisch und nicht mit einem DHCP Server. So, wie
kann ich jetzt die Windows Administratoren dazu Überreden, den
bestehenden Bind DNS Server unter Linux weiter zu benutzen, aber so,
dass man nicht alle Einträge eigenhändig eingeben muß, die die Windows
NT 5.2 DC Server brauchen, die Administratoren aber nicht wissen?
Installation des ersten Microsoft Windows DC Server
Schon beim installieren des ersten DC Servers geht es los. Das Setupprogramm des DCs (dcpromo) versucht in den DNS Server für seine Domäne zu schreiben, an der dieses auch scheitert. Das Programm meldet, dass es keine speziellen Einträge für die Domäne setzen konnte und auch nicht gefunden hat. Dann bietet das Programm die Auswahl es abzubrechen, noch einmal zu wiederholen oder die Einträge manuell zu setzen. Diese Manuell zu setzen, das klingt doch schon nicht schlecht, nach ein bischen Recherche in der Windows 2003 Server Hilfe entdeckt man auch die Einträge für den Server mit seiner Domäne, die benötigt werden. Könnte schon des Admins Lösung sein. Doch nach ein paar Überlegungen war ich doch anderer Meinung. Vielleicht ist das manuelle setzen der Einträge doch nicht die Goldene Lösung. Die anderen Administratoren installieren die Kisten, und die (meisten) Windows Administratoren haben sowieso keine Ahnung, mit welcher Änderung am DC sich welcher DNS Eintrag ändert, und wann/welche Änderung sie dem DNS Administrator mitzuteilen haben. Das würde dann so weiter gehen, bis die Domäne nicht mehr richtig laufen würde. Und ï¿œberhaupt, wenn schon nach ein bis zwei Monaten was geändert würde, müßte sich der DNS Administrator mindestens wieder einen Tag damit auseinandersetzen und im Internet nachforschen wie und welche Änderungen er jetzt machen muß, wenn das und das geändert wurde usw.! Da habe ich auch nicht die meiste Lußt und erst gar nicht die meiste Zeit dafür. Also brechen wir die installation der Windows NT 5.2 DCs an dieser Stelle ab, und forschen weiter nach dem DNS Server und den Einstelltungen für Windows DC Server und Dynamisches DNS mit Bind.
Dynamisches DNS mit dem Bind Server
Eine schöne Sache wäre es doch, wenn die Windows DC Server ihre benötigten (SRV) Einstellungen im DNS automatisch abgleichen würden und alle anderen Server und Clients im Netzwerk dieses nicht dürften. Eine Steigerung wär es noch, diese Zonen in seperaten Dateien auf dem DNS Server abzulegen. Ich selber habe nach einer mir passenden Lösung lange in Internet gesucht und bin fündig geworden. Von Microsoft selber (die Hilfe und im Web) erfährt man schon gut worum es eigentich geht. Zum Auffinden der DC Server, LDAP Server, Kerberos Server ... werden sogenannte SRV Einträge im DNS Server gesetzt, mit welchen sich die Clients an der Domäne autentifizieren können, den globalen Katalogserver finden usw. Es ist möglich, dass in der gleichen Zonendatei einzutragen, in dem auch die Server und Client Namen gepflegt werden, aber der Übersichthalber wär es taktisch klüger, genau dieses in seperaten Dateien ablegen zu lassen. der Bind Version 8.1.2 kann man auch dynamisches DNS realisieren. Bevor die Windows Administratoren nun anfangen können das Active Directory auf dem Windows NT 5.2 Servern zu installieren, muß der DNS Server dafür konfiguriert sein.
Konfiguration des BIND DNS Servers
Betreibt man einen BIND DNS Server auf einem Microsaoft Windows
Server, weiss ich wirklich nicht, wo sich die einzelnen Dateien so
herumtreiben die zum konfigurieren des BIND benötigt werden, aber wenn
man den Absatz weiter liest, und zu der Konfiguration für Linux kommt,
kann man sich die einzelnen Dateien an Hand des Namens zusammensuchen,
denn die Namen der Konfigurationsdateien werden (meist) gleiche lauten.
Betreibt man den BIND DNS Server unter Linux oder Unix, hängt es ganz
davon ab, welche Distribution man im Einsatz hat, aber man kann davon
ausgehen, dass man die Konfigurationsdatei für den Bind selber unter
/etc/namend.conf
findet. In dieser Datei sind alle Zonen für die der Server zuständig ist eingetragen. Die Zonendateien selber befinden sich in einem Verzeichnis unter entweder:
/var/lib/named
/var/named
/usr/local/var/named
Unter eines dieser Verzeichnissen sollte man die Zonen Dateien finden. Aber ich gehe mal stark davon aus, dass der Administrator, der den BIND DNS installiert hat, schon genau weiss wo sich die bzw. seine Zonendateien befinden. In dem Verzeichnis für die Zonendateien legen wir am besten ein weiteres Verzeichnis an in dem sich die Microsoft Windows 2003 DC Server mit ihrem Active Directory so richtig austoben können. Bei uns habe ich das Verzeichnis "dcs" genannt. Wie man das benennt, bleibt jedem selber Überlassen, nur sollte man nicht vergessen, bei der weiteren konfiguration die in meinem Beispiel gewählten Namen durch seine zu ersetzen. In diesem Verzeichnis "dcs" legt man am besten 4 ASCII Dateien mit folgendem Namen an:
mkdir dcs
cd dcs
touch _msdcs.mydomain.de _sites.mydomain.de.zone _tcp.mydomain.de.zone _udp.mydomain.de
Die Windows Leute machen das am besten mit dem "Notepad" Editor, oder wenn sie schon in der Command Box im richtigen Verzeichnis sind, mit dem Befehlen:
md dcs
cd dcs
echo. > _msdcs.mydomain.de
echo. > _sites.mydomain.de
echo. > _tcp.mydomain.de
echo. > _udp.mydomain.de
Jetzt öffnet man diese Dateien am besten mit seinem Lieblingseditor und trägt in diesen die gleich folgenden Zeilen ein, aber wiederum nicht vergessen, dass man die Eintragungen auch für seine Domäne/Netzwerk anzugleichen:
dcs/_msdcs.mydomain.de.zone
$ORIGIN .
$TTL 38400 ; 10 hours 40 minutes
_msdcs.mydomain.de IN SOA susi.mydomain.de. webadmin.mydomain.de. (
2005061301 ; serial
10800 ; refresh (3 hours)
3600 ; retry (1 hour)
604800 ; expire (1 week)
38400 ; minimum (10 hours 40 minutes)
)
NS susi.mydomain.de.
dcs/_sites.mydomain.de.zone
$ORIGIN .
$TTL 38400 ; 10 hours 40 minutes
_sites.mydomain.de IN SOA susi.mydomain.de. webadmin.mydomain.de. (
2005061301 ; serial
10800 ; refresh (3 hours)
3600 ; retry (1 hour)
604800 ; expire (1 week)
38400 ; minimum (10 hours 40 minutes)
)
NS susi.mydomain.de.
dcs/_tcp.mydomain.de.zone
$ORIGIN .
$TTL 38400 ; 10 hours 40 minutes
_tcp.mydomain.de IN SOA susi.mydomain.de. webadmin.mydomain.de. (
2005061301 ; serial
10800 ; refresh (3 hours)
3600 ; retry (1 hour)
604800 ; expire (1 week)
38400 ; minimum (10 hours 40 minutes)
)
NS susi.mydomain.de.
dcs/_udp.mydomain.de.zone
$ORIGIN .
$TTL 38400 ; 10 hours 40 minutes
_udp.mydomain.de IN SOA susi.mydomain.de. webadmin.mydomain.de. (
2005061301 ; serial
10800 ; refresh (3 hours)
3600 ; retry (1 hour)
604800 ; expire (1 week)
38400 ; minimum (10 hours 40 minutes)
)
NS susi.mydomain.de.
Hat man die 4 Dateien angepasst und eingetragen, kann man diese speichern und gleich hinterher die BIND Konfigurationsdatei öffnen "named.conf". Hat man diese offen, kann man gleich oben die folgenden Zeilen eintragen:
/etc/named.conf
acl AD {
10.48.58.1;
10.48.58.2;
10.48.58.3;
10.48.58.4;
10.48.58.10;
};
Natürlich trägt man auch hier seine IP Adressen ein, die die DC Server bekommen sollen. Aber bitte auch nur die DC Server und nichts anderes.
# --------------------------------------------------
# Zone für Windows NT 5.2 DC's mit AD ANFANG
zone "_msdcs.mydomain.de" {
type master;
file "/var/lib/named/dcs/_msdcs.mydomain.de.zone";
notify no;
allow-update {
AD;
};
};
zone "_sites.mydomain.de" {
type master;
file "/var/lib/named/dcs/_sites.mydomain.de.zone";
notify no;
allow-update {
AD;
};
};
zone "_tcp.mydomain.de" {
type master;
file "/var/lib/named/dcs/_tcp.mydomain.de.zone";
notify no;
allow-update {
AD;
};
};
zone "_udp.mydomain.de" {
type master;
file "/var/lib/named/dcs/_udp.mydomain.de.zone";
notify no;
allow-update {
AD;
};
};
# Zone für Windows NT 5.2 DC's mit AD ENDE
# --------------------------------------------------
Neustart der BIND DNS Servers nicht vergessen.
Erneuter Installationsversuch des ersten Microsoft Windows DC Server
Was man zu Schluß noch kontrollieren sollte, das der oder die Microsoft Windows NT 5.2 DC Server auch selber im DNS erfast sind. Wenn das der Fall ist, muß man bei dem Microsoft Windows NT 5.2 Servern auf denen man die Domäne installieren möchte, auch die richtige IP Adresse des DNS Servers eintragen, den man für die neue Domäne konfiguriert hat. Ist das auch der Fall, kann man auch gleich anfangen, den ersten DC Server zu installieren. Das Setupprogramm des DCs (dcpromo) sollte wiederum anfangen, in den DNS Server zu schreiben, was dem Setupprogramm jetzt auch gelingen sollte. Ist die Installation ordentlich abgeschlossen worden, sollte man davon ausgehen, das man es jetzt geschafft hat. Zu eigenen Zufriedenheit sollte man den BIND DNS Server jetzt einmal neu starten und danach überprüfen, ob in den 4 Dateien auch wirklich was eingetragen wurde.
cat _msdcs.mydomain.de _sites.mydomain.de.zone _tcp.mydomain.de.zone _udp.mydomain.de | less
Ist das der Fall, hat man es jetzt wirklich geschafft. Unter Windows kann man die Dateien vielleicht
einmal mit seinem lieblings Editor öffnen, um die Einträge zu sehen. Beim beenden des Editors aber
bitte nicht die Dateien speichern. Jetzt kann man loslegen und seine Microsoft Windows NT 5.2 Domäne
auf zu bauen und sich noch ein paar gedanken dazu machen.
Viel Spaß dabei ...
Wichtige Informationen zum dynamischen BIND DNS Server
Wie ich gerade schon erwähnt habe, sollte man in die dynamischen Zonen Dateien vom BIND DNS Server
auf gar keinem Fall schreiben bzw. die Dateien erneut spreichern. Ihr habt es bestimmt schon gemerkt,
das nach der erfolgreichen Microsoft Windows Domänen installation es 4 weitere Dateien im Zonenverzeichnis
gibt. Die heißen wie die ursprüngliche Zonen Datei, nur haben sie eine andere Dateiendung (.jnl).
Dieses sind Dateien, in diese der BIND DNS Server dynamisch seine Änderungen schreibt.
Die Änderungen im laufendem betrieb welche in die .jnl Dateien geschrieben werden,
werden aber erst in die ursprünglichen Zonen Dateien geschrieben, wenn der BIND DNS Server neu gestartet
oder herunter gefahren wird. Speichert man aber die Zonen Datei oder trägt was nach, merkt der BIND DNS
Server beim abgleichen, das es differenzen gibt und legt beim neustart die ganze Zone lahm.
Resultat vom ganzen, die Änderungen die im laufendem System dynamische in die .jnl Dateien geschrieben
wurden, werden nicht angewand und noch viel schlimmer, die ganze Zone wird aus dem betrieb genommen.
Protokoliert wird das mit einem LOG Dateieintrag. Wenn man jetzt pech hat und die richtige Datei erwischt hat
hat man die ganze Domäne still gelegt.
Das ist uns selber wirklich ein mal passiert, als einer meiner Kollegen in eine Zonen Datei mit Hilfe
von Webmin was nach geschaut hat und dann auch die Datei noch einmal gespeichert wurde. Ein Fall von doof
gelaufen. Dann kommt man aber ganz schön ins schwitzen.
Die einzige Lösung, die ich zum starten der Zonen gefunden habe ist folgende:
Da der BIND DNS Server jetzt nicht weiß, welche Einträge gülltig sind, muß man ihn sagen, was
jetzt wirklich für ihn gültig ist. Am besten ist es, wenn man den BIND DNS Server jetzt stoppt und
die .jnl der betroffenen Zone löscht (vorher vielleicht doch einmal sichern). Jetzt kann man den
BIND DNS Server wieder starten und man wird feststellen, das die verlohrene Zone wieder gestartet wurde.
Bein den nächsten dynamischen Änderungen wird auch wieder eine neue .jnl Datei angelegt. Allerdings
sollte man sich auch in klaren sein, das alle Änderungen die bis zu dem crash in die .jnl Datei geschrieben
würden, verlohren sind. Die .jnl Dateien sind auch Binäre Dateien, in die man nicht so einfach nachschauen
kann, welche Änderung durchgeführt worden ist.
Sollte jemand noch eine andete Lösing kennen, kan er mir diese gerne zukommen lassen.
Written by van GoDD
Für weitere Tipps oder Verbesserungsvorschläge bin ich euch sehr dankbar. Ich halte meine Website aber nicht so super aktuell, bitte habt da etwas Nachsicht mit mir.