Hallo Leute,
ich experimentiere hier für unsere baldige Domänen-Migration von MS W2K3 auf W2K16. Wir nutzen in unserer Win-Domäne Bind9 als DNS-Server.
Nach langem testen und probieren, habe ich es hinbekommen die Migration auf abenteuerliche Weise hinzubekommen. AM DC wurde der DNS-server reaktiviert, die Bind9-Zonen von Netzdiensten gesäubert, dann die 'Firma.local' vom BIND9-Server transferiert und als Slave dann belassen, Netzdienst-Zone '_msdcs' primär/master auf dem MS-DC angelegt → damit hat es die Migration dann auch geklappt. Nur nach jedem hinzufügen eine neues DC musste manuell Hand angelegt werden!).
Jetzt teste ich diesen Zwischenschritt nicht machen zu müssen. Also BIND9 die ganze Zeit zu nutzten, auch während der Migration selber. Ich habe die Netzdienste wieder in eine separate Zone (_msdcs.Firma.local) bzw. separate Zonendatei (db._msdcs.Firma.local) ausgelagert indem ich die o.g. Vorgehensweise genutzt habe und am Ende die _msdcs.Firma.local-Zone (Netzdienste) auf den BIND9-Server transferiert und dort dann als Master betrieben. Den DNS-Server auf dem MS-DC habei ch dann auch deaktiviert da dieser nicht mehr gebraucht wird.
So, die Migration auf den neuen Server ging erst mal problemlos. Jedoch kann ich den 1.DC (W2K3) nicht mehr demoten weil kein weiterer DC gefunden wurde. Klar, habe den Fehler auch gleich gefunden: in der Netzdienst-Zonendatei steht überall noch der alte Server drinnen und vom neuen Server keine Spur.
Die Frage ist jetzt: wie kann ich Bind9 und die AD überreden in diese Zone zu aktualisieren? Der DC hat keinen ddns-key wie der dhcp-server unter Ubuntu. Muss ich diesen auch einrichten für die DC? Kann ich das auch weglassen?
Alternativ: Ich lege für jeden neuen DC, und das passiert ja nicht jeden Tag das ein neuer der AD hinzugefügt wird, EINEN Eintrag in der Zonendatei an. @misterunknown hat in irgendeinem Thread, den ich leider nicht mehr finden kann, erwähnt gehabt ich könne doch ALIASE verwenden und dann mehrerern Servern diesen ALIAS vergeben und diesen dann in den Netzdienst-Auflösung verwenden. Würde das gehen und wie sieht das dann ungefähr dann aus?
Ich habe aktuell in der Netzdienst-Zonendatei überall meinen DC-Server stehen. Ich habe bereits einen CNAME (das ist ja der Alias, richtig?) vom MS-DNS geerbt gehabt welcher mir die ID des Servers dem Servernamen 'zuordnet' (warum auch immer der das machen tut?).
Das steht momentan so drinnen gleich nach der SOA:
$ORIGIN _msdcs.Firma.local. a2a64a94-f5a8-45ad-32e2-5d99c1b2b43c CNAME server-dc.Firma-local. $ORIGIN _tcp.Standardname-des-ersten-Standorts._sites.dc._msdcs.Firma-local. _kerberos SRV 0 100 88 server-dc.Firma.local. _ldap SRV 0 100 389 server-dc.Firma.local. #usw..
Wo muss ich jetzt die Aliase setzen damit ich überall nur noch auf diese zuweisen kann und diese beliebig oft drin stehen können? server-dc0 + server-dc1 → gleicher Alias und dieser löst die Dienste auf?
Also ungefähr so etwas gleich nach der SOA:
$ORIGIN _msdcs.Firma.local. a2a64a94-f5a8-45ad-32e2-5d99c1b2b43c CNAME server-dc.Firma-local. #Das sogar löschen? Brauch ich doch gar nicht mehr, oder? srv-dc0 CNAME alias-dc srv-dc1 CNAME alias-dc $ORIGIN _tcp.Standardname-des-ersten-Standorts._sites.dc._msdcs.Firma-local. _kerberos SRV 0 100 88 alias-dc.Firma.local. _ldap SRV 0 100 389 alias-dc.Firma.local. #usw..
Geht das? Wenn nämlich die eigentlich anvisierte Vorgehensweise nicht gehen sollte (DCs schreiben in diese BIND9-Netzdienst-Zone selber rein), dann würde ich schon gerne nur in dieser einen Dienst-Zone einen Server-Alias hinzufügen und dieser integriert sich in die DC-Liste hinein.