ADS mit BIND DNS

Hallo allerseits,

ich habe bei uns im Moment eine Testumgebung aufgestellt, wo wir eine Migration von NT auf Windows 2003 durchtesten. Da wir in unserer Produktivumgebung DNS mit Linux BIND version 9 einsetzten, wollen wir die auch weiterhin nutzen.

Die Konfiguration ist soweit ok, die Namesauflösung funktioniert und nslookup bringt auch keine Fehler.

Ich bekomme aber regelmässig einen Eintrag im Eventlog des DC's: "Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server DNS/xxx.xxxx.intern herstellen. Es war kein Authentifizierungsprotokoll verfügbar." ID 40961 Source: Lsasrv.

Hab auch schon gegoogelt aber nichts aufschlussreiches gefunden.

Vielleicht kann mir einer von euch da weiterhelfen, was das sein könnte. Wie gesagt, es funktioniert alles einwandfrei aber es kommt immer diese Meldung.

Grüße

Hekmek

Laut Microsoft ist es nichts Besorgnis erregendes....

http://support.microsoft.com/search/default.aspx?InCC_hdn=True&QuerySource=gASr_Query&Catalog=LCID%3D1031%26CDID%3DDE-KB%26PRODLISTSRC%3DON&Product=winsvr2003&Queryc=40961&Query=40961&KeywordType=ALL&maxResults=150&Titles=false&numDays=&InCC=on

Die beiden KB Artikel hatte ich auch schon gefunden, die Meldung kommt aber auch während des Betriebs und nicht beim Neustarten.

Trotzdem, vielen Dank für deine Antwort.

Verwendet ihr denn nur die BIND DNS Server?

Das ist richtig, nur BIND DNS. Da wir eine bereits weltweit etablierte DNS Infrastruktur haben wollen wir nicht noch zusätzlich weitere Systeme pflegen müssen.

Wie schon gesagt, die Namesauflösung funktioniert wunderbar, da es aber eine Testumgebung ist möchte ich natürlich alle Fehlerquellen beseitigen bevor es produktiv geht.

Ist bei euch in der config-datei des BIND DNS-Servers eingestellt das sichere dynamische Updates zugelassen sind?

Original geschrieben von Necron

Ist bei euch in der config-datei des BIND DNS-Servers eingestellt das sichere dynamische Updates zugelassen sind?

Sehr wichtiger Einwand.

Ich hab das auch mit nem Bind gemacht.

Und ohne Dyn Updates läuft nix.

Findes Du im DNS Einträge die mit _ beginnen ?

_msdcs usw?

Teste auch mal was die tools dcdiag und netdiag auf dem DC sagen.

Wenn DynUpdates noch nicht an war, kann man nach dem aktivieren mit netdiag /fix diese Einträge wieder erzeugen lassen.

Ansonsten . Bind und W2k3 Domäne - Kein Problem ;)

Gruß,

Roi Danton

So jetzt funktionierts, ich habe bei der Reverse Zone vergessen den DC in die allow-update Gruppe mit aufzuführen.

Ich hatte nur die Einträge in den Forward-Lookupzone gemacht.

Ich hatte die A und PTR Records manuell eingetragen aber Windows schreibt regelmäßig die Einträge neu und erzeugte eine Fehlermeldung, obwohl die Einträge da sind.

Weiss jemand ob es möglich ist den Windows Servern einen Key für die Registrierung der Records mit zu geben, damit man nicht alle Einträge manuell in der Zone bei allow-update einpflegen muss?

Ich meine das so wie das z.B bei DHCP und DNS unter Linux ist, man generiert einen Key den der DHCP Server nutzt um Einträge in der Zone des DNS machen zu dürfen.

Grüße

Hekmek

Das geht leider nicht.

MS hat da was eigenes gestrickt, das sich die Clients im ADS-DNS-Server registrieren können.

Das kann der Bind aber nicht leisten.

Ich hab es damals auch mit dem DHCP-Server unter Linux realisiert.

Jeder Client der sich vom DHCP-Server nen Lease holt wurde dann im DNS eingetragen.

Und bei den Servern muss man in den sauren Apfel beißen und die von hand eintragen.

Gruß,

Roi Danton

 

One feature of Windows 2000 Domain Name System (DNS) is its support for dynamic host updates (documented in RFC 2136). To take advantage of this feature, Windows 2000 DNS can be deployed in environments that have no other DNS servers, as well as in environments that already have non-dynamic DNS servers implemented (Microsoft Windows NT 4.0 DNS server and BIND 4.9.7 and earlier, etc.). When you are deploying Windows 2000 DNS in an environment that already has BIND or Windows NT 4.0 DNS servers implemented, you have several integration options:

 

Also meines Wissens und nach meiner Interpretation diese Artikels, müsste das sehr wohl gehen. Ich denke, dass es notwendig ist, einen DHCP (eventuell W2K und nicht Linux) zu nehmen, damit´s funktioniert.

Gruss

http://support.microsoft.com/default.aspx?scid=kb;en-us;255913

P.S.: @Roi Danton: Es ist auch möglich über eine IP Adress Reservierung auf einem (z.B. Printserver) die dynamic updates vom DHCP durchführen zu lassen. Nur Servern, welche Services wie WINS,DHCP,DNS, oder ADs ausführen sollte man logischerweise keine DHCP Adressen zuweisen.

Ah warte!

Ich glaube jetzt weiss ich wieder.

Es geht nur keine gesicherte Aktualisierung.

Wenn mein einfach dynamisch frei gibt, dann sollte es gehen.

Oder?

Ich denke auch, dass da der Kackpunkt liegt. Den der W2K DHCP ist so was von standartisiert (ausser die Windows classen und Optionen), dass mich das schwer wundern würde, wenn es nicht ginge. Ausserdem sagt MS niergends, dass dynamic upadates auf fremden DNS Servern überhaupt nicht gehen würde.

Die dynamische Aktualisierung funktioniert einwandfrei, das geht ja ab BIND Version 8 glaub ich. Ich meinte eigentlich die Serverseite. Wir haben das bei uns so eingestellt, dass die Clients ihre Einträge in DNS nicht selber machen dürfen, sondern der DHCP das übernimmt. Der wiederum authentifiziert sich mit einem hinterlegten Key beim DNS, damit nur gesicherte Aktualisierungen stattfinden.

Das gleiche würde ich gerne mit den Servern machen, damit sich nur bekannte Maschinen registrieren dürfen, dass scheint aber noch nicht zu gehen. Windows DNS nutzt eine Abwandlung von TSIG (GSS-TSIG) zur Verschlüsselung, was BIND wohl noch nicht kann.

Da wir Dutztende von Servern haben, werden wir ein Script Linuxseitig einsetzten, um so die Access list zu pflegen.

Grüße

hekmek

"Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server DNS/xxx.xxxx.intern herstellen. Es war kein Authentifizierungsprotokoll verfügbar." ID 40961 Source: Lsasrv.

Also ich bekomme diese Meldung auch immer und zusaetzlich noch eine mit der ID 40960.

Das ganze auf dem 1. DC der Domäne (Win2003 Umgebung)

Als DNS-Server nutzen wir den 1.DC selbst. Bisher konnte ich keine Auswirkungen der Fehlermeldungen auf den Betrieb feststellen, würde es aber trotzdem gerne wegbekommen ...

Auf dem 1.DC läuft auch der DHCP-Server, welcher Aktualisierungen im DNS für die Win98/NT Clients vornimmt.

Ob das damit was zu tun hat !?

Original geschrieben von hekmek

Wir haben das bei uns so eingestellt, dass die Clients ihre Einträge in DNS nicht selber machen dürfen, sondern der DHCP das übernimmt. Der wiederum authentifiziert sich mit einem hinterlegten Key beim DNS, damit nur gesicherte Aktualisierungen stattfinden.

Das gleiche würde ich gerne mit den Servern machen, damit sich nur bekannte Maschinen registrieren dürfen, dass scheint aber noch nicht zu gehen.

Grüße

hekmek

---------------->>>>>>>>>>>>>>>>>

Original geschrieben von Velius

P.S.: @Roi Danton: Es ist auch möglich über eine IP Adress Reservierung auf einem (z.B. Printserver) die dynamic updates vom DHCP durchführen zu lassen. Nur Servern, welche Services wie WINS,DHCP,DNS, oder ADs ausführen sollte man logischerweise keine DHCP Adressen zuweisen.

Genau das wollte ich Eigentlich ausdrücken. Die empfolene Variante ist, allen Servern, welche keine esenziellen Netzwerkdienste ausführen, über einen adress reservation auf dem DHCP!! (Keine feste IP auf dem lokalen Netzwerkinterface des Servers eingetragen, der Server erhält die reservierte vom DHCP), eine IP zu zuweisen. Darunter fallen möglicherweise Anwendungs-, Datei- und Print-, sowie vielleicht Interne Websever usw. Die möglichkeiten sind vielseitig............