hansdampf06
Goto Top

Samba DC (Bind9 DLZ) mit RSAT-DNS-Manager administrieren

Hallochen Gemeinde!

Bekanntlich kann ein Samba DC mit den RSAT administriert werden; hierzu gehört auch der DNS-Manager. Über den DNS-Manager kann sowohl auf den primären DC (SBS2011; FSMO) als auch auf den zweiten DC (Samba4 mit Bind9 auf Ubuntu 20.04) zugegriffen werden. Es gibt aber bei dem Samba DC folgende Kuriosität.

Alle Zonen unter Forward-/Reverse-Lookup sind betreffend den Samba DC zugänglich und können administriert werden mit der einzigen Ausnahme, dass der Zugriff bei der Forward-Lookup-Zone für die interne Domäne (mydomain.tld) mit der Fehlermeldung "Zone wurde vom DNS-Server nicht geladen" verweigert wird. Hingegen ist die zugehörige Zone _msdsc.mydomain.tld frei zugänglich. Kurios ist das deshalb, weil unter jeglichem Gesichtspunkt die Replikation mit dem SBS in beide Richtungen und der Zugriff auf den Samba DC als DNS-Server problemfrei funktioniert. Selbst die Datenbankeinträge sind beim Samba DC vollständig vorhanden. Es gibt weder in der Ereignisanzeige des SBS noch im syslog etc. des Samba DC dieser Kuriosität zuordbare Fehlermeldungen. Und weil ansonsten im DNS-Manager alle Zonen beim Samba DC zugänglich sind, kann es jedenfalls kein generelles Zugriffsproblem zwischen dem Samba DC und dem DNS-Manager sein.

Diese Kuriosität besteht unabhängig davon, ob mit dem DNS-Manager aus den Verwaltungstools des SBS oder aus den RSAT auf einem Windows Pro 8.1 zugegriffen wird.

Bei meiner umfangreichen Internetsuche war in Bezug auf einen Samba DC letztlich nichts zu finden. Die diskutierten Fälle betreffen durchgehend Windows Server (meist 2012) sowie Fallgestaltungen (z.B. zwei trusted Domänen), die hier nicht einschlägig sind. Hierdurch sind die dortigen Lösungsvorschläge kein tauglicher Ansatz . Vergleichbar in der Symptombeschreibung ist am ehesten der Fall unter https://social.technet.microsoft.com/Forums/de-DE/60e98e7e-5f88-4f09-a32 .... Das dort als Fehlerquelle gefundene Update ist für den Samba DC ohnehin nicht einschlägig und außerdem kein SBS-Update. Auch kann es nicht an der Zonenübertragung und der Angabe der Namensserver liegen, weil das ordnungsgemäß konfiguriert ist. Überdies sind die Rechte der Domaincontrollergruppe sowie die Eigenschaften für mydomain.tld und für _msdcs.mydomain.tld identisch.

Die einzige von dcdiag angezeigte Normabweichung betrifft NCSecDesc, was aber noch dem Credo seitens Microsoft nur bei RODC bedeutsam sei. Der diesbezüglich relevante Lösungsansatz (vgl. https://social.technet.microsoft.com/Forums/Lync/en-US/a90c2710-1e7c-431 ..) hat keine Auswirkung auf die Kuriosität beim DNS-Manager (getestet). Das verwundert auch nicht, weil sich NCSecDesc nicht auf ForestDnsZones bezieht.

Hat jemand eine Idee, was ein möglicher Grund für diese Kuriosität beim DNS-Manager und wie das zu lösen sein könnte?

Im Voraus besten Dank und einen schönen Abend

HansDampf06

Content-Key: 619413

Url: https://administrator.de/contentid/619413

Printed on: February 24, 2024 at 15:02 o'clock