Desde CentOS6.9, ¿cómo comunicarse con dos controladores de dominio de Windows simultáneamente?

tag-icon tag-icon windows networking domain-name-system active-directory centos6.6
Desde CentOS6.9, ¿cómo comunicarse con dos controladores de dominio de Windows simultáneamente?

Desde una caja CentOS6.9, no es posible resolver dos controladores de dominio de Windows a la vez, sino solo el primero, donde se puede acceder a la IP de ambos controladores de dominio desde el nodo CentOS.

ping 192.168.59.132                            # Works
ping 192.168.59.156                            # Works

La configuración de las ventanas es la siguiente,

Hay varios hosts de Windows configurados mediante Active Directory en un nodo de controlador de dominio.

Una vez que la entrada de este Controlador de Dominio esté allí en eletc/resolv.confdel host CentOS, es posible comunicarse con todos los nodos debajo de él.

options timeout:1 attempts:1
nameserver 192.168.59.156      # it's hostname is IDMTMG1.IDMT.iSyntax.net


ping IDMTMG1.IDMT.iSyntax.net # Works with out any issue, and all the nodes under that

Pero cuando se trata de más de una configuración, digamos que hay dos controladores de dominio configurados y hay nodos debajo de cada uno de ellos, entonces la comunicación se produce solo para el primero y los nodos debajo de ese.

Eso es,

La entrada /etc/resolv.cong se ve a continuación,

options timeout:1 attempts:1
nameserver 192.168.59.156 # hostname IDMTMG1.IDMT.iSyntax.net
nameserver 192.168.59.132 # hostname ISTMG1.IST.iSyntax.net

Ahora el ping funciona sólo para el primero,

ping IDMTMG1.IDMT.iSyntax.net  # Works, also for all the nodes under it.
ping ISTMG1.IST.iSyntax.net    # Fails

si se cambia el orden en eletc/resolv.confarchivo,

options timeout:1 attempts:1
nameserver 192.168.59.132 # hostname  ISTMG1.IST.iSyntax.net
nameserver 192.168.59.156 # hostname  IDMTMG1.IDMT.iSyntax.net

Ahora también el comportamiento es el mismo, funciona para el primero, no para el segundo.

 ping ISTMG1.IST.iSyntax.net      # Works, Works, also for all the nodes under it.
 ping IDMTMG1.IDMT.iSyntax.net    # Fails

Ver elbúsquedansalida de comando.

nslookup -type=any IDM04MG1.IDM04.iyntax.net

  Server:         192.168.59.132
  Address:        192.168.59.132#53

  Name:   IDM04MG1.IDM04.iyntax.net
  Address: 192.168.59.132
  IDM04MG1.IDM04.iSyntax.net      has AAAA address fd00:59::250:56ff:febc:75ee

##################################
nslookup -type=any SHDMG1.SHD.iyntax.net
  ;; Got recursion not available from 192.168.59.132, trying next server
  Server:         192.168.59.156
  Address:        192.168.59.156#53

  Name:   SHDMG1.SHD.iyntax.net
  Address: 192.168.59.156

¿Cómo podría establecer una conexión con ambos controladores de dominio simultáneamente? Si es posible hacer ping utilizando el nombre de host del DC, se está produciendo la comunicación con todos los nodos debajo de ese.

Respuesta1

Este es el comportamiento esperado. Especifica varios servidores de nombres con fines de redundancia, no para que diferentes servidores respondan a diferentes dominios. Sólo se le preguntará al primero de la lista si responde.

Debe tener uno de los servidores de nombres en funcionamiento que reenvíe solicitudes para el otro NS (o todos ellos para seguir teniendo la redundancia) o tener un NS intermediario que reenvíe las solicitudes a los dominios apropiados (la resolución no recursiva también funcionaría). curso).

Algunas sugerencias (nota: no soy un usuario de AD, por lo que esto es vago):

  • Primero, parece que sus diferentes controladores de dominio son parte del mismo bosque de AD. En ese caso, ya deberían habilitar la resolución de nombres de dominio cruzado (al menos a mi entender). Pregúntele a sus administradores de Windows por qué esto no funciona
  • Si no son parte del mismo bosque, los administradores de Windows deben configurar registros en la parte DNS de AD que apunten a su cliente a otro servidor DNS (por lo tanto, example1.com respondería "para preguntar sobre los hosts de example2.com, pregunte a este servidor de nombres") o simplemente pregunte al otro servidor y le envíe la respuesta (esto se llama recursivo y normalmente sólo es una buena idea en una red privada).
  • Si todo esto no es posible por cualquier motivo, necesita un tercer servidor de nombres que haga este trabajo por usted (de modo que resuelva de forma recursiva las direcciones en todos los dominios de AD o le indique el servidor NS correcto para preguntar). En una solución mínima, esto sólo podría hacerse en su máquina CentOS con un pequeño servidor DNS como dnsmasqdo unbound.

Como ejemplo: si usa dnsmasqdlocalmente para este propósito, agregaría declaraciones de configuración como las siguientes a la dnsmasqdconfiguración:

 server=/IDMT.iSyntax.net/192.168.59.156
 server=/IST.iSyntax.net/192.168.59.132

y luego señale (para obtener más información, resolv.confbusque 127.0.0.1en Google innumerables tutoriales dnsmasqdy lea los documentos).

información relacionada