ADS mit BIND DNS

[hekmek 10]

Hallo allerseits,

 

ich habe bei uns im Moment eine Testumgebung aufgestellt, wo wir eine Migration von NT auf Windows 2003 durchtesten. Da wir in unserer Produktivumgebung DNS mit Linux BIND version 9 einsetzten, wollen wir die auch weiterhin nutzen.

Die Konfiguration ist soweit ok, die Namesauflösung funktioniert und nslookup bringt auch keine Fehler.

Ich bekomme aber regelmässig einen Eintrag im Eventlog des DC's: "Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server DNS/xxx.xxxx.intern herstellen. Es war kein Authentifizierungsprotokoll verfügbar." ID 40961 Source: Lsasrv.

Hab auch schon gegoogelt aber nichts aufschlussreiches gefunden.

Vielleicht kann mir einer von euch da weiterhelfen, was das sein könnte. Wie gesagt, es funktioniert alles einwandfrei aber es kommt immer diese Meldung.

 

Grüße

Hekmek

[Velius 10]

Laut Microsoft ist es nichts Besorgnis erregendes....

 

http://support.microsoft.com/search/default.aspx?InCC_hdn=True&QuerySource=gASr_Query&Catalog=LCID%3D1031%26CDID%3DDE-KB%26PRODLISTSRC%3DON&Product=winsvr2003&Queryc=40961&Query=40961&KeywordType=ALL&maxResults=150&Titles=false&numDays=&InCC=on

[hekmek 10]

Die beiden KB Artikel hatte ich auch schon gefunden, die Meldung kommt aber auch während des Betriebs und nicht beim Neustarten.

Trotzdem, vielen Dank für deine Antwort.

[Velius 10]

Verwendet ihr denn nur die BIND DNS Server?

[hekmek 10]

Das ist richtig, nur BIND DNS. Da wir eine bereits weltweit etablierte DNS Infrastruktur haben wollen wir nicht noch zusätzlich weitere Systeme pflegen müssen.

Wie schon gesagt, die Namesauflösung funktioniert wunderbar, da es aber eine Testumgebung ist möchte ich natürlich alle Fehlerquellen beseitigen bevor es produktiv geht.

[Necron 71]

Ist bei euch in der config-datei des BIND DNS-Servers eingestellt das sichere dynamische Updates zugelassen sind?

[Roi Danton 10]

Original geschrieben von Necron

Ist bei euch in der config-datei des BIND DNS-Servers eingestellt das sichere dynamische Updates zugelassen sind?

Sehr wichtiger Einwand.

Ich hab das auch mit nem Bind gemacht.

Und ohne Dyn Updates läuft nix.

 

Findes Du im DNS Einträge die mit _ beginnen ?

_msdcs usw?

 

Teste auch mal was die tools dcdiag und netdiag auf dem DC sagen.

Wenn DynUpdates noch nicht an war, kann man nach dem aktivieren mit netdiag /fix diese Einträge wieder erzeugen lassen.

 

Ansonsten . Bind und W2k3 Domäne - Kein Problem ;)

 

Gruß,

 

Roi Danton

[hekmek 10]

So jetzt funktionierts, ich habe bei der Reverse Zone vergessen den DC in die allow-update Gruppe mit aufzuführen.

Ich hatte nur die Einträge in den Forward-Lookupzone gemacht.

Ich hatte die A und PTR Records manuell eingetragen aber Windows schreibt regelmäßig die Einträge neu und erzeugte eine Fehlermeldung, obwohl die Einträge da sind.

Weiss jemand ob es möglich ist den Windows Servern einen Key für die Registrierung der Records mit zu geben, damit man nicht alle Einträge manuell in der Zone bei allow-update einpflegen muss?

Ich meine das so wie das z.B bei DHCP und DNS unter Linux ist, man generiert einen Key den der DHCP Server nutzt um Einträge in der Zone des DNS machen zu dürfen.

 

Grüße

Hekmek

[Roi Danton 10]

Das geht leider nicht.

MS hat da was eigenes gestrickt, das sich die Clients im ADS-DNS-Server registrieren können.

Das kann der Bind aber nicht leisten.

Ich hab es damals auch mit dem DHCP-Server unter Linux realisiert.

Jeder Client der sich vom DHCP-Server nen Lease holt wurde dann im DNS eingetragen.

Und bei den Servern muss man in den sauren Apfel beißen und die von hand eintragen.

 

Gruß,

 

Roi Danton

[Velius 10]

 

One feature of Windows 2000 Domain Name System (DNS) is its support for dynamic host updates (documented in RFC 2136). To take advantage of this feature, Windows 2000 DNS can be deployed in environments that have no other DNS servers, as well as in environments that already have non-dynamic DNS servers implemented (Microsoft Windows NT 4.0 DNS server and BIND 4.9.7 and earlier, etc.). When you are deploying Windows 2000 DNS in an environment that already has BIND or Windows NT 4.0 DNS servers implemented, you have several integration options:

 

 

Also meines Wissens und nach meiner Interpretation diese Artikels, müsste das sehr wohl gehen. Ich denke, dass es notwendig ist, einen DHCP (eventuell W2K und nicht Linux) zu nehmen, damit´s funktioniert.

 

Gruss

 

http://support.microsoft.com/default.aspx?scid=kb;en-us;255913

 

 

P.S.: @Roi Danton: Es ist auch möglich über eine IP Adress Reservierung auf einem (z.B. Printserver) die dynamic updates vom DHCP durchführen zu lassen. Nur Servern, welche Services wie WINS,DHCP,DNS, oder ADs ausführen sollte man logischerweise keine DHCP Adressen zuweisen.

[Roi Danton 10]

Ah warte!

Ich glaube jetzt weiss ich wieder.

Es geht nur keine gesicherte Aktualisierung.

Wenn mein einfach dynamisch frei gibt, dann sollte es gehen.

 

Oder?

[Velius 10]

Ich denke auch, dass da der Kackpunkt liegt. Den der W2K DHCP ist so was von standartisiert (ausser die Windows classen und Optionen), dass mich das schwer wundern würde, wenn es nicht ginge. Ausserdem sagt MS niergends, dass dynamic upadates auf fremden DNS Servern überhaupt nicht gehen würde.

[hekmek 10]

Die dynamische Aktualisierung funktioniert einwandfrei, das geht ja ab BIND Version 8 glaub ich. Ich meinte eigentlich die Serverseite. Wir haben das bei uns so eingestellt, dass die Clients ihre Einträge in DNS nicht selber machen dürfen, sondern der DHCP das übernimmt. Der wiederum authentifiziert sich mit einem hinterlegten Key beim DNS, damit nur gesicherte Aktualisierungen stattfinden.

Das gleiche würde ich gerne mit den Servern machen, damit sich nur bekannte Maschinen registrieren dürfen, dass scheint aber noch nicht zu gehen. Windows DNS nutzt eine Abwandlung von TSIG (GSS-TSIG) zur Verschlüsselung, was BIND wohl noch nicht kann.

Da wir Dutztende von Servern haben, werden wir ein Script Linuxseitig einsetzten, um so die Access list zu pflegen.

 

Grüße

hekmek

[Darksun777 10]

"Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server DNS/xxx.xxxx.intern herstellen. Es war kein Authentifizierungsprotokoll verfügbar." ID 40961 Source: Lsasrv.

 

Also ich bekomme diese Meldung auch immer und zusaetzlich noch eine mit der ID 40960.

Das ganze auf dem 1. DC der Domäne (Win2003 Umgebung)

 

Als DNS-Server nutzen wir den 1.DC selbst. Bisher konnte ich keine Auswirkungen der Fehlermeldungen auf den Betrieb feststellen, würde es aber trotzdem gerne wegbekommen ...

 

Auf dem 1.DC läuft auch der DHCP-Server, welcher Aktualisierungen im DNS für die Win98/NT Clients vornimmt.

 

Ob das damit was zu tun hat !?

[Velius 10]

Original geschrieben von hekmek

Wir haben das bei uns so eingestellt, dass die Clients ihre Einträge in DNS nicht selber machen dürfen, sondern der DHCP das übernimmt. Der wiederum authentifiziert sich mit einem hinterlegten Key beim DNS, damit nur gesicherte Aktualisierungen stattfinden.

Das gleiche würde ich gerne mit den Servern machen, damit sich nur bekannte Maschinen registrieren dürfen, dass scheint aber noch nicht zu gehen.

Grüße

hekmek

 

---------------->>>>>>>>>>>>>>>>>

 

Original geschrieben von Velius

P.S.: @Roi Danton: Es ist auch möglich über eine IP Adress Reservierung auf einem (z.B. Printserver) die dynamic updates vom DHCP durchführen zu lassen. Nur Servern, welche Services wie WINS,DHCP,DNS, oder ADs ausführen sollte man logischerweise keine DHCP Adressen zuweisen.

 

Genau das wollte ich Eigentlich ausdrücken. Die empfolene Variante ist, allen Servern, welche keine esenziellen Netzwerkdienste ausführen, über einen adress reservation auf dem DHCP!! (Keine feste IP auf dem lokalen Netzwerkinterface des Servers eingetragen, der Server erhält die reservierte vom DHCP), eine IP zu zuweisen. Darunter fallen möglicherweise Anwendungs-, Datei- und Print-, sowie vielleicht Interne Websever usw. Die möglichkeiten sind vielseitig............