Windows 2008 dns 與 Bind dnz zone transfer

linux windows dns ad 管理網域

aquinas 2014-07-09 17:23:03 ‧ 6105 瀏覽

分享至

windows 2008 有架設Active Directory 網域 xxx.com.tw DNS IP 192.168.1.2
因為五大角色都在同一台，有時覺得DNS查詢過慢，
於是用Trustix Linux + Bind 9.3.4 + Webmin 1.690 架設DNS IP：192.168.1.4，
在Bind上設定"建立一個新的被控區域"，並於windows 2008上設定zone transfer，
目前都可以在Bind上查到所有的dns紀錄，
主機DNS設定192.168.1.4，無法加入網域，會出現以下訊息，

在查詢 DNS 以取得用來尋找網域 "xxx.com.tw" 之 Active Directory 網域控制站 (AD DC) 的服務位置 (SRV) 資源記錄時，發生下列錯誤:
錯誤是: "DNS 名稱不存在。"
(錯誤碼 0x0000232B RCODE_NAME_ERROR)
這是 _ldap._tcp.dc._msdcs.xxx.com.tw 的 SRV 記錄查詢
發生這個錯誤的常見原因包含:

尋找網域的 AD 網域控制站時所需要的 DNS SRV 記錄並未登錄在 DNS 中。當 AD 網域控制站新增到網域時，這些記錄會自動登錄在 DNS 伺服器。AD 網域控制站會在固定的時間間隔更新它們。這部電腦已經設定成使用具有下列 IP 位址的 DNS 伺服器:
192.168.1.4
下列一些區域的子區域中並未包含委派:
xxx.com.tw
com.tw
tw
. (根區域)

請問各位高手會是什麼問題呢？感謝！

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

Ray

iT邦大神 1 級 ‧ 2014-07-10 14:30:55

最佳解答

你的 BIND DNS 只抄寫了原本的 xxx.com.tw, 沒有把 _msdcs 這個 Partition 抄過來, 導致 Client 查不到 SRV 紀錄.

微軟 AD 的 DNS Server 跟一般 Internet DNS 不一樣的地方, 是他至少需要有 4 個 DNS Partition (_msdcs, DomainDNSZones, ForestDNSZones, 跟你自己的 AD domain), 這四個 Partition 會由 FSMO Server 在開機的時候, 自動產生, 且隨時動態更新.

所以, 如果你想用其他的 DNS 取代 AD DNS, 至少需要確定能辦到以下幾件事:

取得 DC 上面的 netlogon.dns 檔案, 掛載成你的 DNS Zone (要自行轉換格式)
隨時更新 netlogons.dns 的內容 (當 DC 更新時, 你的 DNS 也要負責更新此檔)
確保上述四個 DNS Partition 內容都可以被 Client PC 查詢到 (且是最新的資訊)
確保 Client Join/Unjoin Domain 的時候, AD 的紀錄能立即反應到你的 DNS 內
確保你的 DNS 紀錄, 能隨時跟 Windows DHCP Server 的 IP 紀錄同步 (假設你是用Windows 的 DHCP Server 來發 IP 的話)

以上是確保 AD DNS 運作正常的幾個條件, 請重新設計您的 BIND DNS, 以符合上述條件.