iT邦幫忙

0

Windows 2008 dns 與 Bind dnz zone transfer

windows 2008 有架設Active Directory 網域 xxx.com.tw DNS IP 192.168.1.2
因為五大角色都在同一台,有時覺得DNS查詢過慢,
於是用Trustix Linux + Bind 9.3.4 + Webmin 1.690 架設DNS IP:192.168.1.4,
在Bind上設定"建立一個新的被控區域",並於windows 2008上設定zone transfer,
目前都可以在Bind上查到所有的dns紀錄,
主機DNS設定192.168.1.4,無法加入網域,會出現以下訊息,

在查詢 DNS 以取得用來尋找網域 "xxx.com.tw" 之 Active Directory 網域控制站 (AD DC) 的服務位置 (SRV) 資源記錄時,發生下列錯誤:
錯誤是: "DNS 名稱不存在。"
(錯誤碼 0x0000232B RCODE_NAME_ERROR)
這是 _ldap._tcp.dc._msdcs.xxx.com.tw 的 SRV 記錄查詢
發生這個錯誤的常見原因包含:

  • 尋找網域的 AD 網域控制站時所需要的 DNS SRV 記錄並未登錄在 DNS 中。當 AD 網域控制站新增到網域時,這些記錄會自動登錄在 DNS 伺服器。AD 網域控制站會在固定的時間間隔更新它們。這部電腦已經設定成使用具有下列 IP 位址的 DNS 伺服器:
    192.168.1.4
  • 下列一些區域的子區域中並未包含委派:
    xxx.com.tw
    com.tw
    tw
    . (根區域)

請問各位高手會是什麼問題呢?感謝!

1 個回答

0
raytracy
iT邦大神 1 級 ‧ 2014-07-10 14:30:55
最佳解答

你的 BIND DNS 只抄寫了原本的 xxx.com.tw, 沒有把 _msdcs 這個 Partition 抄過來, 導致 Client 查不到 SRV 紀錄.

微軟 AD 的 DNS Server 跟一般 Internet DNS 不一樣的地方, 是他至少需要有 4 個 DNS Partition (_msdcs, DomainDNSZones, ForestDNSZones, 跟你自己的 AD domain), 這四個 Partition 會由 FSMO Server 在開機的時候, 自動產生, 且隨時動態更新.

所以, 如果你想用其他的 DNS 取代 AD DNS, 至少需要確定能辦到以下幾件事:

  1. 取得 DC 上面的 netlogon.dns 檔案, 掛載成你的 DNS Zone (要自行轉換格式)
  2. 隨時更新 netlogons.dns 的內容 (當 DC 更新時, 你的 DNS 也要負責更新此檔)
  3. 確保上述四個 DNS Partition 內容都可以被 Client PC 查詢到 (且是最新的資訊)
  4. 確保 Client Join/Unjoin Domain 的時候, AD 的紀錄能立即反應到你的 DNS 內
  5. 確保你的 DNS 紀錄, 能隨時跟 Windows DHCP Server 的 IP 紀錄同步 (假設你是用Windows 的 DHCP Server 來發 IP 的話)

以上是確保 AD DNS 運作正常的幾個條件, 請重新設計您的 BIND DNS, 以符合上述條件.

我要發表回答

立即登入回答