Wie kann man ab CentOS 6.9 gleichzeitig mit zwei Windows-Domänencontrollern kommunizieren?

tag-icon tag-icon windows networking domain-name-system active-directory centos6.6
Wie kann man ab CentOS 6.9 gleichzeitig mit zwei Windows-Domänencontrollern kommunizieren?

Von einer CentOS6.9-Box aus ist es nicht möglich, zwei Windows-Domänencontroller gleichzeitig aufzulösen, sondern nur den ersten, wobei die IP beider Domänencontroller vom CentOS-Knoten aus erreichbar ist

ping 192.168.59.132                            # Works
ping 192.168.59.156                            # Works

Die Fenster sind wie folgt eingerichtet:

In einem Domänencontrollerknoten sind mehrere Windows-Hosts mithilfe von Active Directory konfiguriert.

Sobald der Eintrag dieses Domänencontrollers imetc/resolv.confdes CentOS-Hosts ist es möglich, mit allen darunter liegenden Knoten zu kommunizieren.

options timeout:1 attempts:1
nameserver 192.168.59.156      # it's hostname is IDMTMG1.IDMT.iSyntax.net


ping IDMTMG1.IDMT.iSyntax.net # Works with out any issue, and all the nodes under that

Wenn jedoch mehr als eine Konfiguration vorliegt, beispielsweise wenn zwei Domänencontroller konfiguriert sind und sich unter jedem davon Knoten befinden, findet die Kommunikation nur für den ersten und die Knoten darunter statt.

Das ist,

Der Eintrag /etc/resolv.cong sieht wie folgt aus:

options timeout:1 attempts:1
nameserver 192.168.59.156 # hostname IDMTMG1.IDMT.iSyntax.net
nameserver 192.168.59.132 # hostname ISTMG1.IST.iSyntax.net

Jetzt funktioniert Ping nur für den ersten,

ping IDMTMG1.IDMT.iSyntax.net  # Works, also for all the nodes under it.
ping ISTMG1.IST.iSyntax.net    # Fails

wenn die Reihenfolge geändert wird imetc/resolv.confDatei,

options timeout:1 attempts:1
nameserver 192.168.59.132 # hostname  ISTMG1.IST.iSyntax.net
nameserver 192.168.59.156 # hostname  IDMTMG1.IDMT.iSyntax.net

Auch jetzt ist das Verhalten dasselbe, es funktioniert beim ersten, nicht beim zweiten.

 ping ISTMG1.IST.iSyntax.net      # Works, Works, also for all the nodes under it.
 ping IDMTMG1.IDMT.iSyntax.net    # Fails

Sehen Sie sich dienslookupBefehlsausgabe.

nslookup -type=any IDM04MG1.IDM04.iyntax.net

  Server:         192.168.59.132
  Address:        192.168.59.132#53

  Name:   IDM04MG1.IDM04.iyntax.net
  Address: 192.168.59.132
  IDM04MG1.IDM04.iSyntax.net      has AAAA address fd00:59::250:56ff:febc:75ee

##################################
nslookup -type=any SHDMG1.SHD.iyntax.net
  ;; Got recursion not available from 192.168.59.132, trying next server
  Server:         192.168.59.156
  Address:        192.168.59.156#53

  Name:   SHDMG1.SHD.iyntax.net
  Address: 192.168.59.156

Wie kann ich gleichzeitig eine Verbindung zu diesen beiden Domänencontrollern herstellen? Wenn ein Ping mit dem Hostnamen des Domänencontrollers möglich ist, findet eine Kommunikation mit allen darunterliegenden Knoten statt.

Antwort1

Dies ist das erwartete Verhalten. Sie geben mehrere Nameserver aus Redundanzgründen an, damit nicht verschiedene Server für verschiedene Domänen antworten. Nur der erste aufgelistete Server wird gefragt, ob er antwortet.

Sie müssen entweder einen der funktionierenden Nameserver so einrichten, dass er die Anfragen an die anderen NS weiterleitet (oder alle, um die Redundanz aufrechtzuerhalten), oder einen vermittelnden NS haben, der die Anfragen an die entsprechenden Domänen weiterleitet (eine nicht-rekursive Auflösung würde natürlich auch funktionieren).

Einige Hinweise (Hinweis: Ich bin kein AD-Benutzer, daher ist dies vage):

  • Erstens klingt es so, als ob Ihre verschiedenen Domänencontroller Teil desselben AD-Gesamtsystems sind. In diesem Fall sollten sie bereits die domänenübergreifende Namensauflösung aktivieren (zumindest nach meinem Verständnis). Fragen Sie Ihre Windows-Administratoren, warum dies nicht funktioniert.
  • Wenn sie nicht Teil derselben Gesamtstruktur sind, müssen die Windows-Administratoren im DNS-Teil von AD Einträge einrichten, die Ihren Client entweder auf einen anderen DNS-Server verweisen (beispiel1.com würde also antworten: „Um Informationen zu den Hosts von example2.com zu erhalten, fragen Sie stattdessen diesen Nameserver“) oder einfach den anderen Server fragen und Ihnen die Antwort zurücksenden (dies wird als rekursiv bezeichnet und ist normalerweise nur in einem privaten Netzwerk eine gute Idee).
  • Wenn all dies aus irgendeinem Grund nicht möglich ist, benötigen Sie einen dritten Nameserver, der diese Aufgabe für Sie übernimmt (entweder löst er rekursiv Adressen in allen AD-Domänen für Sie auf oder verweist Sie an den richtigen NS-Server, um eine Anfrage zu stellen). In einer minimalen Lösung könnte dies nur auf Ihrem CentOS-Computer mit einem kleinen DNS-Server wie dnsmasqdoder erfolgen unbound.

Als Beispiel: Wenn Sie dnsmasqdzu diesem Zweck „lokal“ verwenden, würden Sie der Konfiguration Konfigurationsanweisungen wie die folgenden hinzufügen dnsmasqd:

 server=/IDMT.iSyntax.net/192.168.59.156
 server=/IST.iSyntax.net/192.168.59.132

und verweisen Sie dann resolv.confauf 127.0.0.1(für weitere Informationen googeln Sie unzählige Tutorials dnsmasqdund lesen Sie die Dokumentation).

verwandte Informationen