türkischlan 10 Geschrieben 26. Juli 2011 Melden Teilen Geschrieben 26. Juli 2011 Hallo liebe Gemeinde der AD, aaalso hier die Brennende frage die ich gerne bentwortet haben möchte. :-) Wir haben eine Windows AD mit einer dementsprechenden AD DNS (192.168.168.250). Die AD DNS beinhaltet die AD Integrierte DNS Zone. Name der Zone lautet intranet.local. Hier sind alle AD spezifischen Objekte und Ressourcen eingetragen. Diese sind z.B alle Client Hostnamen, SRV einträge der Domain Controller, Ressourcen einträge des Primär Domain Controller, Global Catalog, quasi alles um die AD in seinem Grüst lauffähig zu halten. Alle Ressourcen die gegen die AD Authentifiziert werden wie Rechner, PrintServer, Member Server, Applikationen benötigen um mit Kerberos/LDAP zu arbeiten die DNS IP-Adresse der AD. Also 192.168.168.250. Nun gibt es eine Linux Umgebung die ebenfalls eine DNS Zone mit dem Namen intranet.dmz bzw. DNS Server IP 10.10.100.100 hat. Diese ist eine normale Standard DNS Zone. Hier werden alle Linux Systeme gepflegt und hinterlegt. Mit der zeit wurden es immer mehr und mehr Linux Server.... Auch bei Scripten für Admin zwecke sind die Hostnamen im FQDN Format (host01.intranet.dmz) hinterlegt. Nun sollen alle Linux Systeme in die Windows AD implemetiert werden. Hierzu weiss ich das, wenn ich ein Rechner gegen die AD binde, er den DNS Namen der AD wissen muss, die IP-Adresse des Domain Controllers, ggf. Realm Domain Name etc..... Nur dann kann ich ein Host in die AD hinzufügen um diese in der AD bekannt zu machen. Da ja Kerberos und UPN eine wichtige Rolle spielen. D.h ich trage an einem Linux System die IP: 192.168.168.250, Gebe den Domain Controller Namen der AD an: DC01, DNS Domain: intranet.local an. Nach dem der Rechner erfolgreich in der AD angebunden ist, kann man ihn über den Namen host01.intranet.local (FQDN) oder auch einfach mit host01 anpingen. Dieser Host wird automatisch in der AD DNS als Host eintrag hinzugefügt und gelistet. Nun die große Frage: Wenn aber gewollt wird das dass Linux System nicht als FQDN (host01.intranet.local) haben soll sondern weiterhin host01.intranet.dmz geführt werden soll würde das doch nicht gehen oder???? Also damit könnte ich nicht gegen die AD anfragen/authentifizieren... Also man möchte nicht das sich der Host FQDN vom bisherigen ändert... aber denoch gegen die AD Authentifizert werden soll. Auch möchte man nicht als bevorzugten DNS Server den von der Active Directory eingetragen haben.(192.168.168.250) was aber wichtig ist. Hier soll weiterhin der DNS von der Standard DNS Zone intranet.dmz eingetragen sein. Also sprich 10.10.100.100. Geht dann hier überhaupt eine AD bzw. Kerberos Authentifizierung?? Ich denke mal nicht. Somit könnte sich kein User mit dem Linux Rechner am AD Anmelden.... Ein Forward von denen ihren DNS zum AD DNS möchte ich nicht haben.. Da diese meiner meinung eher schlecht wäre.. Aber ein Forwarder zu denen ihren DNS wäre eher besser, da diese ein Standard Zone ist. Hoffe euch nicht vollgetxtet zu haben... aber würde mich freuen wenn ihr mir helfen könntet. Besten dank. Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 26. Juli 2011 Melden Teilen Geschrieben 26. Juli 2011 Hi, wenn du dem AD integrierten DNS die intranet.dmz als Zone beibringt, werden die Hosts die du dort anlegst (anlegen lässt) beim Ping als Host.intranet.dmz aufgelöst. Diese Hosts können aber keine Mitglieder der Domäne sein, und somit nicht authentifzieren. Wenn du möchtest dass die Hosts a) AD integriert sind und b) in der Zone intranet.dmz aufgelöst werden, dann wiege doch mal die Möglichkeit ab, in einem neuen Namensraum im gleichen Forest eine Domäne mit dem Namen intranet.dmz anzulegen. Dort kannst du dann die Hosts ins AD joinen und hast ein AD integriertes DNS mit dem Namen den du benötigst. Hoffe ich konnte deine Anforderungen richtig interpretieren :) cheers. Daniel Zitieren Link zu diesem Kommentar
türkischlan 10 Geschrieben 27. Juli 2011 Autor Melden Teilen Geschrieben 27. Juli 2011 Hi, wenn du dem AD integrierten DNS die intranet.dmz als Zone beibringt, werden die Hosts die du dort anlegst (anlegen lässt) beim Ping als Host.intranet.dmz aufgelöst. Diese Hosts können aber keine Mitglieder der Domäne sein, und somit nicht authentifzieren. Ja das ist richtig, ich kann natürlich eine Standard DNS Zone in der AD DNS erstellen. Nur hilft mir das wenig wenn ich Tools (z.B Quest) einsetzte die Pakete oder Updates an Systeme verteilen die nur gehen, wenn diese in der Domain angebunden sind. Wenn du möchtest dass die Hosts a) AD integriert sind und b) in der Zone intranet.dmz aufgelöst werden, dann wiege doch mal die Möglichkeit ab, in einem neuen Namensraum im gleichen Forest eine Domäne mit dem Namen intranet.dmz anzulegen. Wäre eine Theoretische lösung. Ist richtig, mach ne zweite Domain und nenn diese intranet.dmz. Aber so wie ich das vom Kunden verstanden habe will er nicht das die DNS und Hostnamen mit Suffix geändert werden, aber denoch versuchen diese gegen die MS AD zu Authentifizieren.. das klappt so nicht. Da würde es mit Kerberos und dem UPN nicht gehen... Die brauchen die DNS um diese aufzulösen. Gruss Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.