[FUG-BR] RES: [OT] BIND e Active Directory

Luiz Otavio O Souza luiz em visualconnect.com.br
Domingo Dezembro 9 09:06:47 BRST 2007 

----- Original Message ----- 
From: "Renato Frederick" <frederick em dahype.org>
To: "'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'" 
<freebsd em fug.com.br>
Sent: Saturday, December 08, 2007 12:05 PM
Subject: [FUG-BR] RES: [OT] BIND e Active Directory


Se você tem estações XP/vista, coloque o DNS 1o para o 2003, é
imprescindível que eles registrem informações no DNS, como o hostname e
consulte as informações relativas ao AD, como as zonas _msdcs.dominio.ad,
DomainDnsZones.dominio.ad, _sites.dominio.ad e outras. Você pode até mandar
o bind aceitar atualização dinâmica, mas se não existir estas zonas e outras
que o wizard cria como os SRV, haverá muitos problemas no seu domínio.

Então, voce pode colocar o free como slave da MS e fazer ele transferir a
zona como uma zona normal(já que o AD usa um tipo de zona "integrada ao AD",
que segue o mesmo conceito mas tem melhorias da própria MS), como backup
somente.

Outra coisa que voce tem que ver é se o bind aceita registros SRV.

------
Renato,

O registro que as estações fazem no dns é para registrar seu nome (hostname) 
e também o reverso (IP da estação - que pode ser dinâmico - para hostname).

Felizmente tudo que é preciso para fazer a rede funcionar SEM utilizar dns e 
dhcpd do windows esta incluso no ports (isc-dhcpd-server3 - o bind já faz 
parte do sistema).

Com as configurações informadas abaixo, o dhcpd (instalado no freebsd) 
configura o hostname e o reverso das estações assim que a estação alocar um 
IP, exatamente o que o Active Directory precisa para funcionar.

Tenho algumas (aprox. 5 sites diferentes) com AD (todas com 2003, até aonde 
me lembro) e sempre com esse esquema que já se provou muito eficaz.

Como a interação dhcpd/dns faz parte da infra-estrutura da rede AD, mantenha 
isso rodando (bem) no seu freebsd e seu Windows nunca mais vai reclamar da 
rede (experiencia propria).

Descobri isso depois de muita insistencia (e vários problemas na rede AD).

[]'s
Luiz

---- dhcpd.conf ----
# lease update
default-lease-time 86400;
max-lease-time 604800;

# type
authoritative;

# dns update
ddns-update-style interim;

# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;

key dhcpd {
    algorithm hmac-md5;
    secret TEFLU0Q5MW45KiY3ODlBaGE3ODlzMWdoMW5oc2RhaGR1Z3QxCg==;
};

zone xxx.com.br. {
        primary 192.168.0.1;
        key dhcpd;
}

zone 0.168.192.in-addr.arpa. {
        primary 192.168.0.1;
        key dhcpd;
}

subnet 192.168.0.0 netmask 255.255.255.0 {
        range 192.168.0.121 192.168.0.240;
        do-forward-updates on;
        deny client-updates;
        option netbios-name-servers 192.168.0.XX; #WINS
        option domain-name "xxx.com.br";
        option domain-name-servers 192.168.0.1; # DNS
        option netbios-node-type 4;
        option routers 192.168.0.1; # gateway
}

----- fim dhcpd.conf ----

----- named.conf -----
acl clients {
        192.168.0.0/24;
};

acl servers {
        192.168.0.XX; # Servidor Active Directory
};

options {
        # adicione as suas configurações locais aqui
        listen-on {
                192.168.0.1;
        };
        allow-recursion { clients; };
};

key dhcpd {
        algorithm hmac-md5;
        secret TEFLU0Q5MW45KiY3ODlBaGE3ODlzMWdoMW5oc2RhaGR1Z3QxCg==;
};
zone "xxx.com.br" {
        type master;
        check-names ignore;
        allow-update {
                key "dhcpd";
                servers;
        };
        file "dynamic/xxx.com.br";
};

zone "_msdcs.xxx.com.br" {
        type master;
        check-names ignore;
        allow-update {
                servers;
        };
        file "dynamic/_msdcs.xxx.com.br";
};

zone "_sites.xxx.com.br" {
        type master;
        check-names ignore;
        allow-update {
                servers;
        };
        file "dynamic/_sites.xxx.com.br";
};

zone "_tcp.xxx.com.br" {
        type master;
        check-names ignore;
        allow-update {
                servers;
        };
        file "dynamic/_tcp.xxx.com.br";
};

zone "_udp.xxx.com.br" {
        type master;
        check-names ignore;
        allow-update {
                servers;
        };
        file "dynamic/_udp.xxx.com.br";
};

zone "ForestDnsZones.xxx.com.br" {
        type master;
        check-names ignore;
        allow-update {
                servers;
        };
        file "dynamic/forestdnszones.xxx.com.br";
};

zone "DomainDnsZones.xxx.com.br" {
        type master;
        check-names ignore;
        allow-update {
                servers;
        };
        file "dynamic/domaindnszones.xxx.com.br";
};

zone "0.168.192.in-addr.arpa" {
        type master;
        allow-update {
                key "dhcpd";
        };
        file "dynamic/0.168.192.in-addr.arpa";
};

----- fim do dhcpd.conf ----

Mais detalhes sobre a lista de discussão freebsd