SRV záznam pro active directory

SRV záznam pro active directory
« kdy: 29. 05. 2020, 09:30:49 »
Ahoj,

mam sambu AD jako sub.domain.tld. Na jake urovni musi byt nastaveny SRV zaznamy? Momentalne to mam na urovni domain.tld, nema to byt nahodou na urovni sub.domain.tld?

domain.tld mi spravuje dns na debianu.
sub.domain.tld mi spravuje samba AD ("internal dns").

Myslim si, ze by to melo byt takto:

1] na urovni domain.tld delegace zony sub.domain.tld smerem na samba AD (NS & A glue zaznamy)
2] v ramci sub.domain.tld na samba AD musi byt SRV zaznamy

Kdo vi presne?
Diky
« Poslední změna: 29. 05. 2020, 09:40:24 od Petr Krčmář »


M_D

Re:SRV záznam pro active directory
« Odpověď #1 kdy: 29. 05. 2020, 10:26:57 »
Provozuji něco podobného.
Ano, v domain.tld uděláš delegaci na sub (NS & glue A), a v rámci té sub to řídí celé samba a všechny ty SRV záznamy jsou v ní.
Do domain.tld si přidávám položku _kerberos IN TXT "SUB.DOMAIN.TLD", protože máme vše nad kerberosem a tak ať funguje dohledávání správne realm domény.

Pokud to namlátíš ručně přímo do domain.tld (čili ne jako sub.domain.tld), tak to nějak funguje, ale některé věci blbou. To jsem si už dříve ověřil. Pokud to máš v rámci toho domain.tld DNS serveru zadáno ručně vše správně s sub.domain.tld, tak to fuguje OK.


Re:SRV záznam pro active directory
« Odpověď #3 kdy: 29. 05. 2020, 11:34:35 »
Provozuji něco podobného.
Ano, v domain.tld uděláš delegaci na sub (NS & glue A), a v rámci té sub to řídí celé samba a všechny ty SRV záznamy jsou v ní.
Do domain.tld si přidávám položku _kerberos IN TXT "SUB.DOMAIN.TLD", protože máme vše nad kerberosem a tak ať funguje dohledávání správne realm domény.

Pokud to namlátíš ručně přímo do domain.tld (čili ne jako sub.domain.tld), tak to nějak funguje, ale některé věci blbou. To jsem si už dříve ověřil. Pokud to máš v rámci toho domain.tld DNS serveru zadáno ručně vše správně s sub.domain.tld, tak to fuguje OK.

Mam to namlacene rucne do domain.tld. Ale je taky fakt, ze stanice maji jako prvni dns uvedeno AD a ne centralni dns...
Dikec, tak to mi usnadni migraci na nova DNS.

M_D

Re:SRV záznam pro active directory
« Odpověď #4 kdy: 29. 05. 2020, 18:03:02 »
Tomu používat sambu4 jak default resolver pro vše bych se spíše snažil vyhnout. Ten INTERNAL_DNS umí jen odpovídat na záznamy, co potřebuje AD k provozu pro danou doménu. Cokoliv jiného jen tupě forwarduje dál, ani nekešuje, nedělá rekurzi, ... Jen co nezná, tupě přeposílá dál dle volby v cfg dns forwarder = ... a ještě celkem pomalu.
Korektnější je mít v klientech jako DNS nějaký relativně normální resolver, co případně se pro danou sub jen sáhne na Sambu, takže je obtěžována jen relevantníma dotazy.