Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:dns:dnsdebianad [2024/11/15 09:36] – [Enregistrements nécessaires] techer.charles_educ-valadon-limoges.fr
+++ reseau:dns:dnsdebianad [2024/11/18 15:08] (Version actuelle) – [Création du fichier de zone _msdcs.agence.cub.fr] techer.charles_educ-valadon-limoges.fr
@@ Ligne 5: / Ligne 5: @@
   * https://www.it-connect.fr/dns-avec-bind-9%ef%bb%bf/
   * https://www.it-connect.fr/active-directory-les-enregistrements-dns-indispensables/
+  * https://www.serverlab.ca/tutorials/linux/network-services/using-linux-bind-dns-servers-for-active-directory-domains/
 ===== Enregistrements nécessaires  =====
 Un contrôleur de domaine Active Directory a besoin d'enregistrements de ressources du localisateur SRV (Service Location) pour fonctionner.
@@ Ligne 25: / Ligne 26: @@
   * Tapez set type=all et appuyez sur Entrée.
   * Tapez _ldap._tcp.dc._msdcs.Domain_Name, où <Domain_Name> est le nom de votre domaine, puis appuyez sur Entrée.
+Le serveur DNS doit avoir les enregistrements suivant **avant** d'installer le service Active Directory sur le contrôleur de domaine.
+Sans ces zones préalablement crées,  le contrôleur de domaine ne pourra pas les enregistrements DNS requis pour un fonctionnement normal.
 Liste des enregistrements nécessaires :
@@ Ligne 36: / Ligne 42: @@
 |GUID via CNAME	|<DC-GUID>._msdcs.<Nom-DNS-Forêt>	| CNAME	|Un enregistrement par contrôleur de domaine|
+===== Configuration de Bind9 =====
+Il est préférable d'utiliser un fichier de zone séparé pour les enregistrements dynamiques que va faire le contrôleur de domaine Active Directory dans Bind9.
+Il est nécessaire de permettre, avec la directive  **allow-update**, la création d'enregistrements dns pour :
+  * le contrôleur de domaine pour le bon fonctionnement d'Active Directory
+  * les clients Windows pour créer leur propre enregistrement DNS lors de l'adhésion au domaine.
+Editez le fichier **/etc/bind/named.conf.local** pour
+  * ajouter en plus de la zone **agence.cub.fr** la zone **_msdcs.agence.cub.fr**
+  * ajouter la directive **allow-update** à cette zone en précisant les adresses IP autorisées
+<code>
+zone "agence.cub.fr" {
+    type master;
+    file "/etc/bind/db.agence.cub.fr";
+};
+zone "_msdcs.agence.cub.fr" {
+   type master;
+   file "/var/cache/bind/db._msdcs.agence.cub.fr";
+   allow-update { 172.16.x.x; 192.168.x.y/24}
+};
+</code>
+==== Création du fichier de zone _msdcs.agence.cub.fr ====
+<code>
+cp /etc/bind/db.empty /etc/bind/_msdcs.agence.cub.fr
+</code>
+Le fichier **_msdcs.agence.cub.fr** doit être modifiée pour avoir un contenu de ce type :
+<code>
+$TTL 1D
+@       IN      SOA     ns0.agence.cub.fr. root.agence.cub.fr. (
+        2006031201      ; serial
+D              ; refresh
+H              ; retry
+W              ; expire
+H)             ; Negative Cache TTL
+        NS      ns0.agence.cub.fr.
+</code>
 ===== Exemple de configuration =====
 <code>
 ; enregistrement Active directory du  domaine cub.fr
-srv-ad                   IN  A   172.16.250.70
+srv-ad                                        IN  A   172.16.x.y
-_ldap._tcp               IN  SRV  0 0 389 srv-ad.cub.fr
+_ldap._tcp                                    IN  SRV  0 0 389 srv-ad
-_ldap._tcp.pdc._msdcs    IN  SRV  0 0 389 srv-ad.cub.fr
+_ldap._tcp.pdc._msdcs                         IN  SRV  0 0 389 srv-ad
-_ldap._tcp.gc._msdcs     IN  SRV  0 0 389 srv-ad.cub.fr
+_ldap._tcp.dc._msdcs                          IN  SRV  0 0 389 srv-ad
-_kerberos._tcp           IN  SRV  0 0 88  srv-ad.cub.fr
+_ldap._tcp.gc._msdcs                          IN  SRV  0 0 389 srv-ad
-_kerberos._tcp.dc._msdcs IN  SRV  0 0 88  srv-ad.cub.fr
+_kerberos._tcp                                IN  SRV  0 0 88  srv-ad
+_kerberos._tcp.dc._msdcs                      IN  SRV  0 0 88  srv-ad
+_ldap._tcp.default-First-Site-Name._sites     IN  SRV  0 0 389 srv-ad
+_kerberos._tcp.Default-First-Site-Name._sites IN  SRV  0 0 88  srv-ad
 </code>