Esta guía describirá cómo autenticar contra servidores de Active
Directory utilizando BIND9 sin actualizaciones de DNS dinámico (DDNS).
Esta solución ES compatible con Windows Server 2000 y 2003 y server
2008 en los esquemas de Active Directory.
Idenfificación de
IP requeridas y Host Name Información
Nombre de dominio completo (FQDN) de su dominio de Active Directory:
ex: eleyzam.com
IP de los servidores de Active Directory:
por ejemplo: 192.168.200.2
por ejemplo: 192.168.200.3
Nombre de servidores de Active Directory:
ex: ads01
ex: ads02
Nombre del Servidor DNS
ex: ads01
ex: ads02
IP del servidor DNS
192.168.200.14
Ver GUID de dominio
El GUID de dominio es un GUID estático para el directorio de nombres de
dominio.
Para obtener el GUID de dominio, abra una ventana CMD en el servidor de
Active Directory de Windows y escriba:
repadmin /showreps ServerName
al ejecutar este comando se imprimiran en pantalla los siguientes datos
Opciones de DSA: IS_GC
Opciones de sitio: (none)
GUID del objeto DSA:
5d4cf62e-0ba2-4259-b1ef-b2502a3867b6
Id. de invocación de DSA:
5a8bfb19-d996-45fb-b9cf-377d410cc729
==== VECINOS DE ENTRADA
======================================
DC=eleyzam,Dc=com
eleyzam\ADS02 vía RPC
GUID del objeto DSA:
80f2e338-c293-4d3c-95d3-e702b98c09a4
El último intento, efectuado el
2014-09-05 12:19:35, se completó correctamente.
CN=Configuration,DC=eleyzam,Dc=com
eleyzam\ADS02 vía RPC
GUID del objeto DSA:
80f2e338-c293-4d3c-95d3-e702b98c09a4
El último intento, efectuado el
2014-09-05 12:07:58, se completó correctamente.
CN=Schema,CN=Configuration,DC=eleyzam,Dc=com
eleyzam\ADS02 vía RPC
GUID del objeto DSA: 80f2e338-c293-4d3c-95d3-e702b98c09a4
El último intento, efectuado el
2014-09-05 12:07:59, se completó correctamente.
DC=DomainDnsZones,DC=eleyzam,Dc=com
eleyzam\ADS02 vía RPC
GUID del objeto DSA:
80f2e338-c293-4d3c-95d3-e702b98c09a4
El último intento, efectuado el
2014-09-05 12:07:59, se completó correctamente.
DC=ForestDnsZones,DC=eleyzam,Dc=com
eleyzam\ADS02 vía RPC
GUID del objeto DSA:
80f2e338-c293-4d3c-95d3-e702b98c09a4
El último intento, efectuado el
2014-09-05 12:07:59, se completó correctamente.
En este caso las UID son del servidor ADS Primario y los vecinos sería
el de respaldo.
Alias GUID
El Alias GUID DNS es necesario cuando hay varios servidores de Active
Directory en un solo dominio. Esto ayudará a Active Directory a replicar entre
servidores.
Configure el
archivo de zona
Vamos a utilizar la instalación de Debian 7 BIND9 para los
siguientes ejemplos.
Utilice un editor de texto para crear y modificar el archivo siguiente
(requiere privilegios de root para crear y modificar) o el uso de webmin
buscamos "/etc/bind/named.conf.local"
//===================ACTIVE
DIRECTORY=========================
zone "eleyzam.com" {
type master;
file "/var/cache/bind/db.eleyzam.com.interno";
};
luego editamos dicho archivo, agregando la siguiente información
;
; archivo BIND para zona eleyzam.com
;
$TTL 604800
@ IN
SOA eleyzam.com.
hostmaster.igvsv.com.ve. (
2014030631
1200
300
2419200
1200 )
eleyzam.com. IN NS
ads01.eleyzam.com
eleyzam.com. IN NS
ads02.eleyzam.com
eleyzam.com. IN MX
1 mail.eleyzam.com.
eleyzam.com. IN TXT
"v=spf1 mx -all"
eleyzam.com. IN SPF
"v=spf1 mx -all"
;Servidores DNS
eleyzam.com. IN A
192.168.200.2
ads01.eleyzam.com IN
A 192.168.200.2
ads02.eleyzam.com IN
A 192.168.200.3
;Servicios
ADS
_ldap._tcp.eleyzam.com.
SRV 0 0 389 ads01.eleyzam.com
_ldap._tcp.eleyzam.com.
SRV 0 0 389 ads02.eleyzam.com
_ldap._tcp.dc._msdcs.eleyzam.com.
SRV 0 0 389 ads01.eleyzam.com
_ldap._tcp.dc._msdcs.eleyzam.com.
SRV 0 0 389 ads02.eleyzam.com
_ldap._tcp.5d4cf62e-0ba2-4259-b1ef-b2502a3867b6.domains._msdcs.eleyzam.com.
SRV 0 0 389 ads01.eleyzam.com
_ldap._tcp.80f2e338-c293-4d3c-95d3-e702b98c09a4.domains._msdcs.eleyzam.com.
SRV 0 0 389 ads02.eleyzam.com
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.eleyzam.com.
SRV 0 0 389 ads01.eleyzam.com
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.eleyzam.com.
SRV 0 0 389 ads02.eleyzam.com
_ldap._tcp._sites.dc._msdcs.eleyzam.com.
SRV 0 0 389 ads01.eleyzam.com
_ldap._tcp._sites.dc._msdcs.eleyzam.com.
SRV 0 0 389 ads02.eleyzam.com
_ldap._tcp.Default-First-Site-Name._sites.eleyzam.com.
SRV 0 0 389 ads01.eleyzam.com
_ldap._tcp.Default-First-Site-Name._sites.eleyzam.com.
SRV 0 0 389 ads02.eleyzam.com
_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.intranet.domain.com
SRV 0 0 389 ads01.eleyzam.com
_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.intranet.domain.com
SRV 0 0 389 ads01.eleyzam.com
_ldap._tcp.DomainDnsZones.intranet.domain.com
SRV 0 0 389 ads01.eleyzam.com
_ldap._tcp.ForestDnsZones.intranet.domain.com
SRV 0 0 389 ads01.eleyzam.com
;This record
list which one you consider your Primary Controller if you have more then one
AD server
_ldap._tcp.pdc._msdcs.eleyzam.com.
SRV 0 0 389 ads01.eleyzam.com
ForestDnsZones.eleyzam.com.
A 192.168.200.2
DomainDnsZones.eleyzam.com.
A 192.168.200.3
_kpasswd._udp.eleyzam.com.
SRV 0 0 464 ads01.eleyzam.com
_kpasswd._udp.eleyzam.com.
SRV 0 0 464 ads02.eleyzam.com
_kpasswd._tcp.eleyzam.com.
SRV 0 0 464 ads01.eleyzam.com
_kpasswd._tcp.eleyzam.com.
SRV 0 0 464 ads02.eleyzam.com
_kerberos._tcp.eleyzam.com.
SRV 0 0 88 ads01.eleyzam.com
_kerberos._udp.eleyzam.com.
SRV 0 0 88 ads01.eleyzam.com
_kerberos._tcp.eleyzam.com.
SRV 0 0 88 ads02.eleyzam.com
_kerberos._udp.eleyzam.com.
SRV 0 0 88 ads02.eleyzam.com
_kerberos._tcp.dc._msdcs.eleyzam.com.
SRV 0 0 88 ads01.eleyzam.com
_kerberos._tcp.dc._msdcs.eleyzam.com.
SRV 0 0 88 ads02.eleyzam.com
_kerberos._udp.dc._msdcs.eleyzam.com.
SRV 0 0 88 ads01.eleyzam.com
_kerberos._udp.dc._msdcs.eleyzam.com.
SRV 0 0 88 ads02.eleyzam.com
_kerberos._tcp.Default-First-Site-Name._sites.eleyzam.com.
SRV 0 0 88 ads01.eleyzam.com
_kerberos._tcp.Default-First-Site-Name._sites.eleyzam.com.
SRV 0 0 88 ads02.eleyzam.com
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.eleyzam.com.
SRV 0 0 88 ads01.eleyzam.com
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.eleyzam.com.
SRV 0 0 88 ads02.eleyzam.com
_kerberos._tcp._sites.dc._msdcs.eleyzam.com.
SRV 0 0 88 ads01.eleyzam.com
_kerberos._tcp._sites.dc._msdcs.eleyzam.com.
SRV 0 0 88 ads02.eleyzam.com
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.eleyzam.com.
SRV 0 0 3268 ads01.eleyzam.com
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.eleyzam.com.
SRV 0 0 3268 ads02.eleyzam.com
_ldap._tcp.gc._msdcs.eleyzam.com.
SRV 0 0 3268 ads01.eleyzam.com
_ldap._tcp.gc._msdcs.eleyzam.com.
SRV 0 0 3268 ads02.eleyzam.com
_gc._tcp.Default-First-Site-Name._sites.eleyzam.com.
SRV 0 0 3268 ads01.eleyzam.com
_gc._tcp.Default-First-Site-Name._sites.eleyzam.com.
SRV 0 0 3268 ads02.eleyzam.com
_gc._tcp.eleyzam.com.
SRV 0 0 3268 ads01.eleyzam.com
_gc._tcp.eleyzam.com.
SRV 0 0 3268 ads02.eleyzam.com
5d4cf62e-0ba2-4259-b1ef-b2502a3867b6._msdcs.eleyzam.com.
600 IN CNAME ADS01.eleyzam.com
80f2e338-c293-4d3c-95d3-e702b98c09a4._msdcs.eleyzam.com.
600 IN CNAME ADS02.eleyzam.com
Guardamos el archivo, verificamos si bind9 acepta la configuración sin
errores y procedemos a probar con una instalación de windows si funciona
nuestra configuración.