שלום לכולם ,
ברשותי סביבת Microsoft ובה שרת דומיין קונרולר אחד בשם DC1.example.com
ואליו מחוברות תחנות ווינדוס 2008\2012\WIN7\2003 . שם הדומיין הוא MSDOMAIN
באקטיב דיירקטורי קיימים שלושה יוזרים שאיתם עושים לוגין מכל התחנות , יוזר
bob ויוזר bobqa .
bob בקבוצות בקאפ אופרייטור ורמוט דסקטור יוזר ,דומיין יוזרז
BOBQA- אדמיניסטרטור לוקלי , דומיין יוזרז .

כרגע קיימות 20 תחנות ועל כל תחנה כזו ולכל תחנה היוזרים הנ"ל עושים לוגין לסרוגין.
כל תחנה בעלת רשומת DNS בשרת DNS לינוקס תחת example.com וכל התחנות עובדות מול השרת DNS הזה כאשר הרשומות הן בצורה של host.example.com .

מאיזו שהיא סיבה לא ברורה התחנות מאבדות Trust לדומיין כל פעם שאני עושה להן ריסטרט ואני מקבל את ההודעה הקלאסית :
THE SECURITY DATABASE ON THE SERVER DOES NOT HAVE A COMPUTER ACCOUNT FOR THIS WORKSTATION TRUST RELATIONSHIP

אני באמת כבר אובד עצות ואין לי מושג מה הסיבה... כל התחנות הותקנו ידנית אחת אחת ולא מIMG .
אודה לעזרתכם המהירה!
תודה רבה!!

צריך להתחיל בהאם ההודעה נכונה: כלומר, האם יש Computer Object ב AD עבור המחשב הזה בזמן שהוא עולה... (אם לא, אולי משהו מוחק אותם?)

על הדרך תוודא שכל השעונים בכל המחשבים מכוונים לאותו תאריך ושעה...

היי תודה על המענה המהירה,
כן הם אכן מכוונים ואכן קיים אובייקט מחשב עם שם המחשב בAD.
תודה

*מהיר.
יכול להיות מצב שבגלל ששם השרת הדומיין שלי הוא msdomain.example.com התחנות מחפשות דומיין קונטרורל בשם dc1.msdomain.exmaple.com ולא dc1.example.com ?

התחנות צריכות להיות (בכל קונפיגורציה סטנדרטית שראיתי עד היום?) host.domain ... ככה שאם הדומיין הוא msdomain.example.com - אז התחנות צריכות להיות host1.msdomain.example.com, למיטב הבנתי. ממה שאני מבין מתחילת האשכול - זה לא המצב?

אשר לשרתי ה DNS, למיטב זכרוני זה די מסובך, אבל באופן כללי, הדומיין עצמו אמור להיות resolvable לכל ה IP-ים של כל ה DC-ים בדומיין... הידע לגבי זהות כל מיני רכיבים ב AD מתעדכן כל הזמן בתקשורת מול DC כלשהו שזמין.

אגב, ב DNS יש עוד כל מיני תתי דומיינים שמשמשים לפעילות תקינה של AD. כמובן שבשביל ש AD יפעל בצורה תקינה, הוא צריך להצליח לעדכן את שרת ה DNS שלו (הרשאות, יכולת בפרוטוקול, וכו') לגבי כל הרשומות האלה. זו גם בד"כ הסיבה שבסביבות-מיקרוסופט, נוהגים להשתמש בשרתים של מיקרוסופט בתור שרתי ה DNS, בגלל שזה לא בדיוק שימוש "טריוויאלי" בתשתית ה DNS כפי שתכננו אותו שאר המימושים של DNS בייקום...

נראה לי שאני פשוט אפרק את הסביבה ואבנה אותה מחדש . העניין שהיא סביבה יחסית מורכבת ולכן אשמח לכמה עצות :
כרגע יש לי DNS ZONE שמנוהל ע"י שרת לינוקס נקרא לו test.example.com , ונניח שהוא בvlan 100 . לtest.example.com יש DHCP לVLAN שלו (100) וכאמור DNS ששניהם מנוהלים בשרת לינוקס.
כיום יש לי בדומיין זה מכונות לינוקס וווינדוס מעורבות ואני רוצה ליצור דומיין חדש עבור שרתי הווינדוס . מבחינת הדיזיין זה משהו שעוד לא יצא לי לעשות (סביבה מעורבת ) ומכאן הבלבול .
אני רוצה ליצור דומיין רק למכונות מייקרוסופט ,נקרא לו ms1.test.example.com ונניח שנגדיר לו רול של DNS גם .
האם אני צריך :
1) ליצור VLAN חדש עבורם ? או ששרת הDHCP ימשיך לנהל אותם כמו שהיום?
2) האם אני מגדיר את הדומיין בתוך existing forest או כדומיין חדש?
3) ליצור DNS זון חדש לMS1? אבל בעצם מאחר והם באותו סאבנט של test.example.com , האם זה יתכן שיהיו שני שרתי שינהלו אותו טווח כתובות IP (למשל בREVERSE LOOKUP) . לכן אני חושב שצריך סאבנט שונה , האם אני טועה? אני כמובן אעדיף שלא .

בנתיים אלו השאלות שעולות לי בראש.
אשמח לעצה .
תודה רבה!

אין קשר ל VLAN - פרוטוקול DNS מבוסס IP ולא שכבה 2, ולכן לא צריך לעשות הפרדה ברשתות - רק הפרדה במי ניגש לאיזה שרת DNS.

ל DHCP אין קשר לאף אחד מהנ"ל - זו סתם חלוקת כתובות IP, ולא משנה מאיזו מערכת הפעלה עושים את זה (אבל, מה שכן, אם אתה רוצה שההוסטים יירשמו אוטומטית ב DNS של מיקרוסופט, אז "כדאי" לך להשתמש בזה של מיקרוסופט. גם מ ISC DHCP אפשר לעדכן שרת DNS של מיקרוסופט, אבל אז אתה צריך לאפשר ל"אנונימי" לעדכן את ה DNS.)

ה reverse lookup בכלל לא משפיע על כלום לכל דבר ועניין, ורשתות רבות חיות בכלל בלי קיומו - אם כי נחמד שהוא שם. ההגבלות הן אותן הגבלות בדיוק כמו על ה forward lookup.

אם אתה מייצר דומיין חדש שנקרא ms1.test.example.com - ואתה מגדיר ששרת ה DNS של מחשב החלונות שלך הוא 127.0.0.1, אזי ההקמה של AD תיצור אוטומטית איזור ב DNS המקומי שרץ על שרת החלונות שיקרא ms1.test.example.com, והוא לא יהיה קשור, בשום צורה ל test.example.com. כדי שכל צד שמשתמש בכל DNS שונה יוכל לראות את השני, אתה יכול להגדיר forwarder בכל אחד מה DNS-ים על הדומיין השני, ולהוסיף ב DHCP בהגדרת ה DNS בפרמטר search order את שני ה suffix-ים, ואז תמצא הוסטים משתי הרשתות...

כן , לגבי הDHCP אני יודע שאין השפעה אבל כן בלבל אותי עניין הDNS .
לגבי אבל הreverse , אם אני בעצם יצרתי לטווח כתובות 10.0.1.X שזה הכתובות של ההוסטים שלי , ו10.0.0.1 מטופל אצלי גם בשרת DNS לינוקס , אז שמכונה אצלי בדומיין מנסה לעשות ריזולב לכתובת של מכונה שלא בדומיין הזה אבל כן בסאבנט , היא לא תמצא רשומה עבורה ב10.0.1 שנמצא על הAD ,אבל כן קיימת רשומה עבורה המכונה ההיא בDNS הלינוקסי . בעצם היא בטח תעביר את השאילתה לForwarders נכון ?

מה לגבי הדומיין החדש? להגדיר אותו כnew domain in a new forest נכון ?
תודה רבה על העזרה שימי! מעריך את זה מאוד

התייעצות עם ה Forwarder נעשית כשאין מידע מקומי על ה Zone שעליו נעשתה השאילתא. כשיש, זה לא יעבור הלאה (אבל אפשר לעשות delegation באמצעות רשומות NS...)

אם אתה ממש רוצה שכל אחד מחלקי הרשת יעבוד עם שרת DNS שונה וגם ש reverse DNS יעבוד בכל אחת משתי הרשתות, נראה שאין מנוס מלהפריד אותן לטווח שונה מבחינת DNS - אבל גם אז הם יכולים לשבת בתוך אותו LAN עם אותו netmask - נניח 10.0.1.123 ו 10.0.0.123 עם netmask של 255.255.254.0 ואז ב reverse DNS לעשות delegation מכל רשת לרשת השניה...

אבל אז הבעייה שלך תהיה אחרת: איך אתה מחלק כתובות לכל מחשב כך שיקבל כתובת IP בחלק הרלוונטי. מצד שני, כבר היום יש לך את הבעייה הזו, אם אתה מגדיר לכל אחד מהם שרת DNS שונה באמצעות DHCP. איך תעשה את זה בתוך אותה רשת? (מלבד באמצעות הגדרה סטטית בשרת ה DHCP, המבוססת על ה MAC של המכונות השונות, שזה כבר כמעט כמו הגדרה סטטית של IP-ים?)

אז כן, אתה גם יכול לפצל ל VLAN, אבל אז... תצטרך לדאוג לניתוב ביניהם, ואז, שוב, תהיה הגדרה ידנית - הפעם של ה VLAN - תצטרך להציב כל מכונה ב VLAN הנכון - ידנית - פר פורט במתג. ת'אכלס, בדיוק כמו ההגדרה ב DHCP (רק שהפעם תצטרך לעשות שינויים בחיבורים הפיזיים או במתג בכל פעם שמחשב "עובר דירה", כי השיוך יהיה מבוסס על הפורט במתג ולא על זהות המחשב...)

או... שאתה יכול לקבל את זה שאתה מתחתן עם מיקרוסופט חתונה קתולית (לכאורה, המטרה שלהם בתכנון של כמעט כל מוצר שלהם, ת'אכלס), ופשוט להשתמש רק ב DNS שלהם...

דומיין-מיקרוסופט חדש שאינו תלוי בשום דבר ישן הוא אכן new forest

ציטוט:

במקור נכתב על ידי שימי ל DHCP אין קשר לאף אחד מהנ"ל - זו סתם חלוקת כתובות IP, ולא משנה מאיזו מערכת הפעלה עושים את זה (אבל, מה שכן, אם אתה רוצה שההוסטים יירשמו אוטומטית ב DNS של מיקרוסופט, אז "כדאי" לך להשתמש בזה של מיקרוסופט. גם מ ISC DHCP אפשר לעדכן שרת DNS של מיקרוסופט, אבל אז אתה צריך לאפשר ל"אנונימי" לעדכן את ה DNS.)

נשמע לי די מופרך.

מי שמעדכן רשומות DNS של מחשבים החברים ב-AD הוא המחשב, לא שרת ה-DHCP. מאיפה המחשב מקבל את כתובת ה-IP לא משנה. אם לא ביטלת את זה בקונפיגורציה ברגע שה-DHCP client של וינדוס מקבל כתובת חדשה ה-DNS client מנסה לעדכן את הרשומה בשרת ה-DNS. הוא מזדהה כ-machine account באמצעות קרברוס ואז פועל לפי RFC2136 (או גרסה חדשה יותר).

(עשיתי את זה בזמנו מלינוקס עם איזו ספריית DNS לפייתון ו-MIT Kerberos)

אפשר לגרום לשרת ה-DHCP לבצע את העדכון לפי בקשה מהלקוח, ואפשר אפילו לגרום לו לבצא את העדכון בלי בקשות מהלקוח (עבור לקוחות NT4 וכד' שלא יודעים לבצע dynamic DNS update), אבל הלקוח תמיד מסוגל לזה.

יש קטע מעצבן/מפגר בו הלקוח יוצר/מעדכן את ה-A record ושרת ה-DHCP מעדכן את ה-PTR record, אבל אל חשש! אפשר לגרום ללקוח לעדכן את שתי הרשומות. הבעיה בפוסט הזה: http://setspn.blogspot.co.il/2010/1...lookup-dns.html
הפיתרון בפוסט ההמשך שמקושר בשורה הראשונה של הפוסט הזה.

אתה רוצה לתת לכל העולם ואשתו גישה לשנות רשומות DNS באופן חופשי בשרת שלך? שיהיה בכיף. אבל אל תשחק אותה כאילו זה מחויב המציאות אם אתה משתמש בשרת DHCP אחר משל MS. זו ממש לא אשמתם.

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

תשמע, לא המצאתי את מה שכתבתי יש מאין. אני זוכר בעיות, והרבה מהן, כשניסיתי לעבוד בקונפיגורציה כזו (והסיבה שניסיתי לעשות את זה הייתה שה DHCP מבוסס המיקרוסופט פשוט הפסיק לחלק כתובות יום בהיר אחד, בלי שאף אחד נגע בו - והאמת היא שעד היום לא הצלחתי להבין למה - ולפרמט לא בא בחשבון (זה היה גם ה DC) - אז התקנתי ISC DHCP על הוסט אחר באותה רשת וזה עבד מאז...)

יש לציין שהיה מדובר ב Windows Server 2003 עד כמה שזכרוני לא מטעיני.

ייתכן שהבעייה בכלל לא הייתה עם קליינטים שהם של מיקרוסופט... (אני לא זוכר, עבר עשור...) יכול להיות שהיא הייתה עם לקוחות רשת שהם דווקא אינם של מיקרוסופט, וכן היה צורך ששרת ה DHCP יעדכן את שרת ה DNS.

באופן כללי, אם רוצים עדכון DNS חיצוני לתוך שרת של מיקרוסופט, אז כמדומני שכן צריך לאפשר גישה אנונימית (או הזדהותית בשיטת DIY, אבל היא קצת יותר מסובכת כפי שאמרת בעצמך), ואי אפשר (לפחות לא דרך ה GUI, אולי יש איזה רג'יסטרי סודי) להגיד "תאפשר אנונימי רק מהוסט X".

בכל מקרה, הוא תמיד יכול לנסות ולספר לפסטן מה התוצאות.

ציטוט:

במקור נכתב על ידי Dsysadmin שלום לכולם , ברשותי סביבת Microsoft ובה שרת דומיין קונרולר אחד בשם DC1.example.com ואליו מחוברות תחנות ווינדוס 2008\2012\WIN7\2003 . שם הדומיין הוא MSDOMAIN באקטיב דיירקטורי קיימים שלושה יוזרים שאיתם עושים לוגין מכל התחנות , יוזר bob ויוזר bobqa . bob בקבוצות בקאפ אופרייטור ורמוט דסקטור יוזר ,דומיין יוזרז BOBQA- אדמיניסטרטור לוקלי , דומיין יוזרז . כרגע קיימות 20 תחנות ועל כל תחנה כזו ולכל תחנה היוזרים הנ"ל עושים לוגין לסרוגין. כל תחנה בעלת רשומת DNS בשרת DNS לינוקס תחת example.com וכל התחנות עובדות מול השרת DNS הזה כאשר הרשומות הן בצורה של host.example.com . מאיזו שהיא סיבה לא ברורה התחנות מאבדות Trust לדומיין כל פעם שאני עושה להן ריסטרט ואני מקבל את ההודעה הקלאסית : THE SECURITY DATABASE ON THE SERVER DOES NOT HAVE A COMPUTER ACCOUNT FOR THIS WORKSTATION TRUST RELATIONSHIP אני באמת כבר אובד עצות ואין לי מושג מה הסיבה... כל התחנות הותקנו ידנית אחת אחת ולא מIMG . אודה לעזרתכם המהירה! תודה רבה!!

אם זה עדיין רלבנטי, זה קצת long shot, אבל אני יכול להגיד לך מה אני הייתי בודק.
קודם כל, אתה אומר שהבעיה הזאת משתחזרת אצלך. זה טוב. זה אומר שאפשר לבדוק את זה.

הנה כמה דברים ששווה לבדוק, מהקל לכבד:

1. בדוק האם הסיסמה ב-AD זהה או שונה מהסיסמה בתחנת הלקוח. כאן מתואר היכן נשמרות הסיסמאות של ה-machine accounts ובאיזה אופן: https://blogs.technet.com/b/askds/a...2/15/test2.aspx (החל השאלה השלישית: "How do computers actually use passwords?")
2. הסנף וראה האם ומתי יש שינוי של הסיסמה. כידוע (וכמו שכתוב בפוסט אליו קישרתי למעלה) הלקוח יוזם שינוי סיסמה של ה-machine account, כך שזה די מוזר שהוא ישנה סיסמה וישכח מזה. בדרך כלל הבעיות נובעות מדברים כמו שחזור גיבוי מ-image ישן, אחרי שכבר בוצע שינוי סיסמה מול ה-AD.

אני די בטוח שיש דברים שקשורים לזה ב-event log, אבל אני לא מכיר את האירועים הספציפיים ואין לי חשק לחפש עכשיו. אתה האדמין פה, לא אני. אתה אמור לדעת...

אם אתה חושב שהבעיה נובעת מהשם של הדומיין וכל זה... אתה גם יכול להסניף ולראות האם פונים לשמות הנכונים. נסה את הדברים האלה. אחרי זה נדבר.

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.