proNovell

Где-то на форуме это уже обсуждалось, и мнения, по-моему, высказывались противоречивые ( т.е. работать вроде бы может, если очень захотеть ). Имеем тестовый 2003 сервер ( пока без АД или домена, просто в рабочей группе ), и работающий DNS на Netware 6.5. Встала задача потестировать IDM, в плане синхронизации АД и еДира ( есть некий софт, работающий только под Виндой с пользоватеями из АД ), ну и не только.

На этом 2003 уже крутится тестовое дерево еДира ( что сводилось к запуску одного ехе-шника ), так что, как мне представлялось, поднять родной АД будет делом 5 минут. Поначалу не увидел ничего, напоминающего AD installation wizard, поэтому пошел в хелп. Почитав там всякие checklists с многостраничными "чего надо проверить и настроить перед установкой" ( часть из которых, правда, помечена как Optional ) чуть не упал со стула. Так что решил для начала выяснить, а стоит ли - и как - городить огород. Или, может, поднять на том 2003 его родной DNS, и пусть они друг с другом общаются, никого больше при этом не задевая ( ведь мне этот сервер нужен сугубо для приложений, клиенты в АД логиниться не будут ).

работать будет даже на bind 8
(нужна поддержка записей SRV),
но все потроха придется забивать вручную
и при смене конфигурации AD - переписывать
опять же вручную.

provodnikov писал(а):...но все потроха придется забивать вручную...

а поподробнее о потрохах можно, а то у меня подобная задача, и не хочется виндовый DNS поднимать-использовать

provodnikov писал(а):работать будет даже на bind 8
(нужна поддержка записей SRV),
но все потроха придется забивать вручную
и при смене конфигурации AD - переписывать
опять же вручную.

Не могу утверждать наверняка, но у нас на BIND 8.x с динамическим обновлением зоны все прошло... Дело было давно, ставился эксперимент.

Андрей Тр. aka RH писал(а):Где-то на форуме это уже обсуждалось, и мнения, по-моему, высказывались противоречивые

http://support.novell.com/cgi-bin/searc ... 061330.htm

> у нас на BIND 8.x с динамическим обновлением зоны все
> прошло...

мне не нравятся динамические зоны на bind,
обновляемые _клиентами_. журналы глючные,
ручные правки невозможны.

я предпочитаю "полудинамические" зоны собственного изготовления:
1) статическая часть (забито руками и проверено).
2) динамичская часть - взята из DHCP скриптом
и проверна на глюки им же.

Ага .. спасибо всем, в теории вроде понятно - надо пробовать. Особенно интересна ссылка в самом конце приведенного ТИДа на Does Novell DNS for NW6.5 have support for Microsoft Active Directory (AD)? - TID10093063 - то, что доктор прописал. Насчет динамической части - как я понимаю, для меня это не особо актуально, раз кроме собсно сервера там с АД ничего работать не предполагается. Хотя в будущем - кто его знает.

Поставил АД, для этого пришлось только разрешить изменение зоны ( временно - для всех, как предлагается в ТИДе; пока не понял, как именно там разрешить для одного хоста ). После чего Визард ( нашел я его таки - через очередной раздел хелпа ( где приводился ярлык для его запуска ) насоздавал мне в зоне АД-шных записей .. тучу, короче.

Теперь новая проблема - хотя она пока что не проблема, а так, непонятки. Все же при отработке Визарда в процессе создания записей в DNS на консоли DNS сервера вылезло несколько ошибок ( штуки 4-5 ) - Unable to modify RRSet : и далее различные атрибуты некоторых АД-шных записей.

Немного почитав, возник вопрос - не может ли это быть из-за DNSSEC ? Из M$-овского хелпа я пока не понял, необходим ли он при работе АД с DNS, и можно ли его отключить ( нашел только по параметр в реестре, и в нем нельзя полностью отключить DNSSEC - но, как мне показалось, речь шла о взаимодействии с клиентами .. ). Ведь в checklists на тему обязательной поддержки DNSSEC ни слова, да и в новелловском ТИДе про это умалчивается.

Хотя даже после этих ошибок на первый взгляд проблем не возникло.

Ну я просто импортировал зону с win на котором был ад и днс, а клиентам днс-ов отдавлось два - 1-й nw, 2-й win.
Ничего сложного в настройке - чисто интуитивно и с первого раза.

В общем-то ничего сложного нет, на первый ( точнее - второй ) взгляд - как я уже писал, мне пришлось поменять лишь один параметр ( в двух зонах - включая IN-ADDR.ARPA ). Но смущают те ошибки на консоли :

DNS server services started.
error: Unable to add RRSet object with error -613 while adding RR: #ldap_#tcp_8
be3b9bd-34b8-4e84-9c56-b179f0569b2d_domains_#msdcs_ad_domainмой_домен
error: Unable to modify RRSet: #ldap_#tcp_8be3b9bd-34b8-4e84-9c56-b179f0569b2d_
domains_#msdcs_ad_domain.мой_домен with error -601
error: Unable to add RRSet object with error -613 while adding RR: #kerberos_#t
cp_default-first-site-name_#sites_dc_#msdcs_ad_domain.мой_домен
error: Unable to modify RRSet: #kerberos_#tcp_default-first-site-name_#sites_dc
_#msdcs_ad_domain.мой_домен with error -601

Хочется понять, приведет ли это в будущем к проблемам или нет. Вот что нетваревский DNS не поддерживает TGIS - это я понял ( а на SUSE поддерживает ). Переносить зону мне неохота, написано - должно работать, значит должно работать