2.4.1 Перенаправление DNS-зон

Evgen

Участник
Регистрация
12.01.25
Сообщения
2
Реакции
0
Добрый день!
Пытаюсь создать перенаправление dns между AD (2019) и ALD Pro (2.4.1). Использую инструкцию с оф. сайта.

На стороне MS AD:
Для создания перенаправителя (ConditionalForwarder) из домена windomain.lan в alddomain.lan необходимо:
Add-DnsServerConditionalForwarderZone -Name "alddomain.lan" -ReplicationScope "Forest" -MasterServers 192.168.88.80
ALD.PNG

Для проверки доступности домена alddomain.lan необходимо выполнить следующие команды: ping alddc01.alddomain.lan.
Получаю ошибку - При проверке связи не удалось обнаружить узел alddc01.alddomain.lan.

На стороне ALD Pro:
Для создания перенаправителя (ConditionalForwarder) из домена alddomain.lan в windomain.lan необходимо:
kinit admin
ipa dnsforwardzone-add windomain.lan --forwarder=192.168.88.85 --forward-policy=only
AD.PNG

Для проверки доступности домена windomain.lan необходимо выполнить следующие команды: ping windc01.windomain.lan
Получаю ощибку - ping windc01.windomain.lan: Временный сбой в разрешении имен.

Что еще необходимо сделать?

P.S. Имена и ip соответственно изменены. По ip контроллеры друг друга видят.
 
Сделайте из гуи со стороны винды и freeipa. Имена контроллеров должны резолвится в своих доменах.
Отключите dnssec в ald и резолв из других подсетей

Из ald достаточно настроить глобальную переадресацию в сторону винды. Переадресацию зон имеет смысл делать делать если виндовый домен обслуживает более одной зоны.
 
Последнее редактирование:
Интересно, зачем замазывать внутренний адрес вида 192.168.x.x но при этом писать его текстом "forwarder=192.168.88.85". то-же самое относительно доменов *.local и *.lan. Боитесь, что взломают по bluetooth ? ))
 
Интересно, зачем замазывать внутренний адрес вида 192.168.x.x но при этом писать его текстом "forwarder=192.168.88.85". то-же самое относительно доменов *.local и *.lan. Боитесь, что взломают по bluetooth ? ))
Замазывать политика компании обязывает!
"forwarder=192.168.88.85" - а это из инструкции. Если Вы ее конечно читали.
 
Доброе утро!
Занимаюсь преподаванием ИТ, до 22 года преподавал всякие MS-технологии, с 22 пересел на Linux, с ALD Pro вожусь с версии 1.3, поскольку продукт интересный.
Сейчас как раз переделываю свои варианты лабораторных для курса от Астры (у Астры они, мягко скажем, несколько "кривоваты"), уже под версию 2.4.1.
Держите кусок инструкции, если еще нужно (замечу, что в DNS от MS предпочитаю делать зоны-заглушки, а не условную пересылку).
С наилучшими, Игорь

2. Перейдите в раздел "Роли и службы сайта > Служба разрешения имен".

3. На странице "Роли и службы сайта > Служба разрешения имен" перейдите на вкладку "Перенаправление запросов" и щелкните кнопку "+ Новая зона".

4. На странице "Роли и службы сайта > Служба разрешения имен > Новый перенаправитель" введите следующие значения полей:

"Имя зоны" - msad.test;
"Глобальные перенаправители" - 192.168.101.200;
"Тип зоны" - Прямой;
"Политика перенаправления" - Только перенаправлять;
"Пропустить проверку пересечения" - флажок не установлен;

и щелкните "Сохранить" с подтверждением.

5. Перейдите в окно приложения "Терминал Fly" и обеих вкладках проверьте взаимодействие к контроллером домена AD DS:

ping win-dc.msad.test

Примечание: взаимодействие с контроллером домена AD DS должно работать.

6. На обоих контроллерах выполните команды:

sudo net conf setparm global "restrict anonymous" "0"
sudo aldproctl restart -i

для временного разрешения анонимного доступа к контроллерам домена ALD Pro.

Примечание: без такого разрешения попытка установления двусторонних доверительных отношений завершается ошибкой.

7. В окне ВМ win-dc разблокируйте, если нужно, сеанс пользователя Administrator с паролем Pa55w.rd, запустите консоль "Диспетчер DNS" (dnsmgmt.msc) и перейдите в папку "Forward Lookup Zones".

8. Создайте новую зону со следующими свойствами:

"Zone Type" - Stub zone;
"Store the zone in Active Directory" - флажок установлен;
"Active Directory Zone Replication Scope" - To all DNS servers running on domain controllers in this forect: msad.test;
"Zone name" - ald.test;
"Master DNS Servers" - 192.168.101.1 (нажмите улавишу "Tab");
"Use the above servers to create a local list of master servers" - установите флажок.

9. Перейдите в папку alt.test и убедитесь, что в зоне появились записи SOA, NS и A-записи для DNS-серверов зоны.

Примечание: записи с зоне-заглушке появляются с некоторой задержкой, периодически обновляйте сведения о зоне, чтобы обнаружить изменения.

10. Запустите приложение "Windows PowerShell" и проверьте разрешение имен для зоны ald.test:

Resolve-DnsName dc1.ald.test
Resolve-DnsName _ldap._tcp.ald.test -Type SRV
Resolve-DnsName _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.ald.test -Type SRV

Примечание: разрешение имен должно работать.
 
Назад
Сверху Снизу