No CentOS6.9, como se comunicar com dois controladores de domínio do Windows simultaneamente?

tag-icon tag-icon windows networking domain-name-system active-directory centos6.6
No CentOS6.9, como se comunicar com dois controladores de domínio do Windows simultaneamente?

A partir de uma caixa CentOS6.9, não é possível resolver dois controladores de domínio do Windows por vez, mas apenas o primeiro, onde o IP de ambos os controladores de domínio é acessível a partir do nó CentOS

ping 192.168.59.132                            # Works
ping 192.168.59.156                            # Works

A configuração do Windows é como abaixo,

Há vários hosts do Windows configurados usando o Active Directory em um nó do controlador de domínio.

Uma vez que a entrada deste Controlador de Domínio esteja noetc/resolv.confdo host CentOS, é possível comunicar-se com todos os nós abaixo dele.

options timeout:1 attempts:1
nameserver 192.168.59.156      # it's hostname is IDMTMG1.IDMT.iSyntax.net


ping IDMTMG1.IDMT.iSyntax.net # Works with out any issue, and all the nodes under that

Mas quando se trata de mais de uma configuração, digamos que há dois controladores de domínio configurados e há nós em cada um deles, então a comunicação está acontecendo apenas para o primeiro e para os nós abaixo dele.

Aquilo é,

A entrada /etc/resolv.cong tem a aparência abaixo,

options timeout:1 attempts:1
nameserver 192.168.59.156 # hostname IDMTMG1.IDMT.iSyntax.net
nameserver 192.168.59.132 # hostname ISTMG1.IST.iSyntax.net

Agora o ping funciona apenas para o primeiro,

ping IDMTMG1.IDMT.iSyntax.net  # Works, also for all the nodes under it.
ping ISTMG1.IST.iSyntax.net    # Fails

se a ordem for alterada noetc/resolv.confarquivo,

options timeout:1 attempts:1
nameserver 192.168.59.132 # hostname  ISTMG1.IST.iSyntax.net
nameserver 192.168.59.156 # hostname  IDMTMG1.IDMT.iSyntax.net

Agora também o comportamento é o mesmo, funciona para o primeiro, não para o segundo.

 ping ISTMG1.IST.iSyntax.net      # Works, Works, also for all the nodes under it.
 ping IDMTMG1.IDMT.iSyntax.net    # Fails

Veja onslookupcomando para fora colocado.

nslookup -type=any IDM04MG1.IDM04.iyntax.net

  Server:         192.168.59.132
  Address:        192.168.59.132#53

  Name:   IDM04MG1.IDM04.iyntax.net
  Address: 192.168.59.132
  IDM04MG1.IDM04.iSyntax.net      has AAAA address fd00:59::250:56ff:febc:75ee

##################################
nslookup -type=any SHDMG1.SHD.iyntax.net
  ;; Got recursion not available from 192.168.59.132, trying next server
  Server:         192.168.59.156
  Address:        192.168.59.156#53

  Name:   SHDMG1.SHD.iyntax.net
  Address: 192.168.59.156

Como eu poderia estabelecer conexão com ambos os controladores de domínio simultaneamente? Se for possível fazer ping usando o nome do host do DC, a comunicação com todos os nós abaixo dele está acontecendo.

Responder1

Este é um comportamento esperado. Você especifica vários servidores de nomes para fins de redundância, para não ter servidores diferentes respondendo a domínios diferentes. Somente o primeiro listado será questionado se responde.

Você precisa ter um dos servidores de nomes funcionando encaminhando solicitações para o outro NS (ou todos eles para continuar tendo redundância) ou ter um NS intermediário que encaminhe as solicitações para os domínios apropriados (a resolução não recursiva também funcionaria). curso).

Algumas dicas (nota: não sou usuário do AD, então isso é vago):

  • Primeiro, parece que seus diferentes controladores de domínio fazem parte da mesma floresta do AD. Nesse caso, eles já deveriam habilitar a resolução de nomes de domínio cruzado (pelo menos no meu entendimento). Pergunte aos administradores do Windows por que isso não está funcionando
  • Se eles não fizerem parte da mesma floresta, os administradores do Windows precisarão configurar registros na parte DNS do AD que aponte seu cliente para outro servidor DNS (portanto, example1.com responderia "para perguntar sobre hosts example2.com, pergunte a este servidor de nomes") ou apenas pergunte ao outro servidor e envie a resposta de volta (isso é chamado de recursivo e geralmente é apenas uma boa ideia em uma rede privada).
  • Se tudo isso não for possível por qualquer motivo, você precisará de um terceiro servidor de nomes que faça esse trabalho para você (para que ele resolva recursivamente endereços em todos os domínios do AD para você ou indique o servidor NS correto para perguntar). Em uma solução mínima, isso poderia ser feito apenas em sua máquina CentOS com um pequeno servidor DNS como dnsmasqdou unbound.

Por exemplo: se você usar dnsmasqdlocalmente para essa finalidade, adicione instruções de configuração como as seguintes à dnsmasqdconfiguração:

 server=/IDMT.iSyntax.net/192.168.59.156
 server=/IST.iSyntax.net/192.168.59.132

e, em seguida, aponte resolv.confpara 127.0.0.1(para obter mais informações, pesquise no Google inúmeros tutoriais dnsmasqde leia os documentos).

informação relacionada