Re: [FUG-BR] RES: RES: [OT] BIND e Active Directory
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bom, Só pra complementar, tem esse link ai que é a respeito do funcionamento do DNS do Windows http://download.microsoft.com/download/c/7/9/c7948d6f-727b-41a7-aa03-2f3e6959eb0a/video_aula3.zip Flws -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.7 (MingW32) iD8DBQFHXXvRVCgiIjCYfrkRAunEAJ94SamAmfwktlZ1zj+QD/el4vcwiQCgipd0 Z06xZl2+TpeZlvaAwnKhjgg= =QyAV -END PGP SIGNATURE- Em 09/12/07, Renato Frederick [EMAIL PROTECTED] escreveu: Luiz, bacana a documentação, é bom para deixar como referencia que o dcpromo e o wizard não são bichos de 7 cabeças, hehehehe! -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Luiz Otavio O Souza Enviada em: domingo, 9 de dezembro de 2007 09:07 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: [OT] BIND e Active Directory - Original Message - From: Renato Frederick [EMAIL PROTECTED] To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' freebsd@fug.com.br Sent: Saturday, December 08, 2007 12:05 PM Subject: [FUG-BR] RES: [OT] BIND e Active Directory Se você tem estações XP/vista, coloque o DNS 1o para o 2003, é imprescindível que eles registrem informações no DNS, como o hostname e consulte as informações relativas ao AD, como as zonas _msdcs.dominio.ad, DomainDnsZones.dominio.ad, _sites.dominio.ad e outras. Você pode até mandar o bind aceitar atualização dinâmica, mas se não existir estas zonas e outras que o wizard cria como os SRV, haverá muitos problemas no seu domínio. Então, voce pode colocar o free como slave da MS e fazer ele transferir a zona como uma zona normal(já que o AD usa um tipo de zona integrada ao AD, que segue o mesmo conceito mas tem melhorias da própria MS), como backup somente. Outra coisa que voce tem que ver é se o bind aceita registros SRV. -- Renato, O registro que as estações fazem no dns é para registrar seu nome (hostname) e também o reverso (IP da estação - que pode ser dinâmico - para hostname). Felizmente tudo que é preciso para fazer a rede funcionar SEM utilizar dns e dhcpd do windows esta incluso no ports (isc-dhcpd-server3 - o bind já faz parte do sistema). Com as configurações informadas abaixo, o dhcpd (instalado no freebsd) configura o hostname e o reverso das estações assim que a estação alocar um IP, exatamente o que o Active Directory precisa para funcionar. Tenho algumas (aprox. 5 sites diferentes) com AD (todas com 2003, até aonde me lembro) e sempre com esse esquema que já se provou muito eficaz. Como a interação dhcpd/dns faz parte da infra-estrutura da rede AD, mantenha isso rodando (bem) no seu freebsd e seu Windows nunca mais vai reclamar da rede (experiencia propria). Descobri isso depois de muita insistencia (e vários problemas na rede AD). []'s Luiz dhcpd.conf # lease update default-lease-time 86400; max-lease-time 604800; # type authoritative; # dns update ddns-update-style interim; # Use this to send dhcp log messages to a different log file (you also # have to hack syslog.conf to complete the redirection). log-facility local7; key dhcpd { algorithm hmac-md5; secret TEFLU0Q5MW45KiY3ODlBaGE3ODlzMWdoMW5oc2RhaGR1Z3QxCg==; }; zone xxx.com.br. { primary 192.168.0.1; key dhcpd; } zone 0.168.192.in-addr.arpa. { primary 192.168.0.1; key dhcpd; } subnet 192.168.0.0 netmask 255.255.255.0 { range 192.168.0.121 192.168.0.240; do-forward-updates on; deny client-updates; option netbios-name-servers 192.168.0.XX; #WINS option domain-name xxx.com.br; option domain-name-servers 192.168.0.1; # DNS option netbios-node-type 4; option routers 192.168.0.1; # gateway } - fim dhcpd.conf - named.conf - acl clients { 192.168.0.0/24; }; acl servers { 192.168.0.XX; # Servidor Active Directory }; options { # adicione as suas configurações locais aqui listen-on { 192.168.0.1; }; allow-recursion { clients; }; }; key dhcpd { algorithm hmac-md5; secret TEFLU0Q5MW45KiY3ODlBaGE3ODlzMWdoMW5oc2RhaGR1Z3QxCg==; }; zone xxx.com.br { type master; check-names ignore; allow-update { key dhcpd; servers; }; file dynamic/xxx.com.br; }; zone _msdcs.xxx.com.br { type master; check-names ignore; allow-update { servers; }; file dynamic/_msdcs.xxx.com.br; }; zone _sites.xxx.com.br { type master; check-names ignore; allow-update { servers;
[FUG-BR] RES: RES: [OT] BIND e Active Directory
Luiz, bacana a documentação, é bom para deixar como referencia que o dcpromo e o wizard não são bichos de 7 cabeças, hehehehe! -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Luiz Otavio O Souza Enviada em: domingo, 9 de dezembro de 2007 09:07 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: [OT] BIND e Active Directory - Original Message - From: Renato Frederick [EMAIL PROTECTED] To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' freebsd@fug.com.br Sent: Saturday, December 08, 2007 12:05 PM Subject: [FUG-BR] RES: [OT] BIND e Active Directory Se você tem estações XP/vista, coloque o DNS 1o para o 2003, é imprescindível que eles registrem informações no DNS, como o hostname e consulte as informações relativas ao AD, como as zonas _msdcs.dominio.ad, DomainDnsZones.dominio.ad, _sites.dominio.ad e outras. Você pode até mandar o bind aceitar atualização dinâmica, mas se não existir estas zonas e outras que o wizard cria como os SRV, haverá muitos problemas no seu domínio. Então, voce pode colocar o free como slave da MS e fazer ele transferir a zona como uma zona normal(já que o AD usa um tipo de zona integrada ao AD, que segue o mesmo conceito mas tem melhorias da própria MS), como backup somente. Outra coisa que voce tem que ver é se o bind aceita registros SRV. -- Renato, O registro que as estações fazem no dns é para registrar seu nome (hostname) e também o reverso (IP da estação - que pode ser dinâmico - para hostname). Felizmente tudo que é preciso para fazer a rede funcionar SEM utilizar dns e dhcpd do windows esta incluso no ports (isc-dhcpd-server3 - o bind já faz parte do sistema). Com as configurações informadas abaixo, o dhcpd (instalado no freebsd) configura o hostname e o reverso das estações assim que a estação alocar um IP, exatamente o que o Active Directory precisa para funcionar. Tenho algumas (aprox. 5 sites diferentes) com AD (todas com 2003, até aonde me lembro) e sempre com esse esquema que já se provou muito eficaz. Como a interação dhcpd/dns faz parte da infra-estrutura da rede AD, mantenha isso rodando (bem) no seu freebsd e seu Windows nunca mais vai reclamar da rede (experiencia propria). Descobri isso depois de muita insistencia (e vários problemas na rede AD). []'s Luiz dhcpd.conf # lease update default-lease-time 86400; max-lease-time 604800; # type authoritative; # dns update ddns-update-style interim; # Use this to send dhcp log messages to a different log file (you also # have to hack syslog.conf to complete the redirection). log-facility local7; key dhcpd { algorithm hmac-md5; secret TEFLU0Q5MW45KiY3ODlBaGE3ODlzMWdoMW5oc2RhaGR1Z3QxCg==; }; zone xxx.com.br. { primary 192.168.0.1; key dhcpd; } zone 0.168.192.in-addr.arpa. { primary 192.168.0.1; key dhcpd; } subnet 192.168.0.0 netmask 255.255.255.0 { range 192.168.0.121 192.168.0.240; do-forward-updates on; deny client-updates; option netbios-name-servers 192.168.0.XX; #WINS option domain-name xxx.com.br; option domain-name-servers 192.168.0.1; # DNS option netbios-node-type 4; option routers 192.168.0.1; # gateway } - fim dhcpd.conf - named.conf - acl clients { 192.168.0.0/24; }; acl servers { 192.168.0.XX; # Servidor Active Directory }; options { # adicione as suas configurações locais aqui listen-on { 192.168.0.1; }; allow-recursion { clients; }; }; key dhcpd { algorithm hmac-md5; secret TEFLU0Q5MW45KiY3ODlBaGE3ODlzMWdoMW5oc2RhaGR1Z3QxCg==; }; zone xxx.com.br { type master; check-names ignore; allow-update { key dhcpd; servers; }; file dynamic/xxx.com.br; }; zone _msdcs.xxx.com.br { type master; check-names ignore; allow-update { servers; }; file dynamic/_msdcs.xxx.com.br; }; zone _sites.xxx.com.br { type master; check-names ignore; allow-update { servers; }; file dynamic/_sites.xxx.com.br; }; zone _tcp.xxx.com.br { type master; check-names ignore; allow-update { servers; }; file dynamic/_tcp.xxx.com.br; }; zone _udp.xxx.com.br { type master; check-names ignore; allow-update { servers; }; file dynamic/_udp.xxx.com.br; }; zone ForestDnsZones.xxx.com.br { type master; check-names ignore; allow-update { servers; }; file dynamic/forestdnszones.xxx.com.br; }; zone
[FUG-BR] RES: RES: [OT] BIND e Active Directory
Opa, a questao aí é que as estações XP necessitam fazer query ao DNS para correto funcionamento, quando em um AD, diferente de NT. Então, é crucial que o DNS esteja cofigurado, por isto é preciso fazer isto. :) Com certeza o bind, o dnscache, o tinydns e tantos outros tem mais recursos, mas a solução da MS é assim! Hehe -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Patryck Ramos Martins Enviada em: sábado, 8 de dezembro de 2007 18:24 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: [OT] BIND e Active Directory Entendi tudo que vcs comentaram sobre a integração BIND e AD e sei que não existe solução correta mas eu nao gosto de instalar o dns da microsoft e mando o AD procurar o dns configurado no BIND. Menos trabalho e mais confiável, na minha opinião. Arbaços Em 08/12/07, Welkson Renny de Medeiros[EMAIL PROTECTED] escreveu: 90% dos terminais são XP... tem alguns 2000, mas poucos... Confesso que conheço pouco de AD... os últimos que instalei me enrolei todo na configuração do DNS... achei o bind muito mais fácil de configurar rsrsrs Vou fazer um planejamento aqui da migração e iniciar os testes e posto o resultado aqui na lista. Obrigado pela ajuda e bom fim de semana. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Renato Frederick [EMAIL PROTECTED] To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' freebsd@fug.com.br Sent: Saturday, December 08, 2007 11:05 AM Subject: [FUG-BR] RES: [OT] BIND e Active Directory Se você tem estações XP/vista, coloque o DNS 1o para o 2003, é imprescindível que eles registrem informações no DNS, como o hostname e consulte as informações relativas ao AD, como as zonas _msdcs.dominio.ad, DomainDnsZones.dominio.ad, _sites.dominio.ad e outras. Você pode até mandar o bind aceitar atualização dinâmica, mas se não existir estas zonas e outras que o wizard cria como os SRV, haverá muitos problemas no seu domínio. Então, voce pode colocar o free como slave da MS e fazer ele transferir a zona como uma zona normal(já que o AD usa um tipo de zona integrada ao AD, que segue o mesmo conceito mas tem melhorias da própria MS), como backup somente. Outra coisa que voce tem que ver é se o bind aceita registros SRV. -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Welkson Renny de Medeiros Enviada em: sexta-feira, 7 de dezembro de 2007 18:20 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] [OT] BIND e Active Directory Blz Cristiano! Deixa ver se entendi... Vou continuar com meu named e todos os terminais setando para o dns dele (freebsd). No win2003 vou instalar o AD e instalar o DNS da Microsoft... No free eu cadastro o dns da microsoft como slave... Resumindo: vou ficar com 2 servidores de dns, um no freebsd (master) e outro no win2003 (slave). +- isso? Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Cristiano Maynart Pereira [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Friday, December 07, 2007 4:00 PM Subject: Re: [FUG-BR] [OT] BIND e Active Directory Welkson, Não tem muito mistério, basta aceitar transferencia e recursao e configurar as zonas como slave. No DNS do Windows, voce tem que configurar, nas zonas que utilizar, que aceita updates dinâmicos seguros e não seguros (padrao eh soh seguro), acrescentar o servidor com o Bind na guia Name Servers e em zone transfer permitir tranferencia de zonas para os servidores listados em name servers. Named.conf (bind 9) options { directory /etc/namedb; version NOT AVAILABLE; listen-on{ 127.0.0.1; 172.16.0.1; }; allow-transfer { 172.16.0.0/24; # rede dos servidores }; allow-recursion {
Re: [FUG-BR] RES: RES: [OT] BIND e Active Directory
E este query implica em que Renato? É por isso que esta dando warning no dump-file, ou não tem nada a ver? Em 08/12/07, Renato Frederick[EMAIL PROTECTED] escreveu: Opa, a questao aí é que as estações XP necessitam fazer query ao DNS para correto funcionamento, quando em um AD, diferente de NT. Então, é crucial que o DNS esteja cofigurado, por isto é preciso fazer isto. :) Com certeza o bind, o dnscache, o tinydns e tantos outros tem mais recursos, mas a solução da MS é assim! Hehe -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Patryck Ramos Martins Enviada em: sábado, 8 de dezembro de 2007 18:24 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: [OT] BIND e Active Directory Entendi tudo que vcs comentaram sobre a integração BIND e AD e sei que não existe solução correta mas eu nao gosto de instalar o dns da microsoft e mando o AD procurar o dns configurado no BIND. Menos trabalho e mais confiável, na minha opinião. Arbaços Em 08/12/07, Welkson Renny de Medeiros[EMAIL PROTECTED] escreveu: 90% dos terminais são XP... tem alguns 2000, mas poucos... Confesso que conheço pouco de AD... os últimos que instalei me enrolei todo na configuração do DNS... achei o bind muito mais fácil de configurar rsrsrs Vou fazer um planejamento aqui da migração e iniciar os testes e posto o resultado aqui na lista. Obrigado pela ajuda e bom fim de semana. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Renato Frederick [EMAIL PROTECTED] To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' freebsd@fug.com.br Sent: Saturday, December 08, 2007 11:05 AM Subject: [FUG-BR] RES: [OT] BIND e Active Directory Se você tem estações XP/vista, coloque o DNS 1o para o 2003, é imprescindível que eles registrem informações no DNS, como o hostname e consulte as informações relativas ao AD, como as zonas _msdcs.dominio.ad, DomainDnsZones.dominio.ad, _sites.dominio.ad e outras. Você pode até mandar o bind aceitar atualização dinâmica, mas se não existir estas zonas e outras que o wizard cria como os SRV, haverá muitos problemas no seu domínio. Então, voce pode colocar o free como slave da MS e fazer ele transferir a zona como uma zona normal(já que o AD usa um tipo de zona integrada ao AD, que segue o mesmo conceito mas tem melhorias da própria MS), como backup somente. Outra coisa que voce tem que ver é se o bind aceita registros SRV. -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Welkson Renny de Medeiros Enviada em: sexta-feira, 7 de dezembro de 2007 18:20 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] [OT] BIND e Active Directory Blz Cristiano! Deixa ver se entendi... Vou continuar com meu named e todos os terminais setando para o dns dele (freebsd). No win2003 vou instalar o AD e instalar o DNS da Microsoft... No free eu cadastro o dns da microsoft como slave... Resumindo: vou ficar com 2 servidores de dns, um no freebsd (master) e outro no win2003 (slave). +- isso? Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Cristiano Maynart Pereira [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Friday, December 07, 2007 4:00 PM Subject: Re: [FUG-BR] [OT] BIND e Active Directory Welkson, Não tem muito mistério, basta aceitar transferencia e recursao e configurar as zonas como slave. No DNS do Windows, voce tem que configurar, nas zonas que utilizar, que aceita updates dinâmicos seguros e não seguros (padrao eh soh seguro), acrescentar o servidor com o Bind na guia Name Servers e em zone transfer permitir tranferencia de zonas para os servidores listados em name servers. Named.conf (bind 9)