Czy mogę całkowicie usunąć DNS systemu Windows na rzecz BIND9 w sieci AD?

11

Chciałbym usunąć funkcję DNS kontrolerów domeny Windows i skierować serwery DNS na nasze serwery BIND9.

Wiem, że można skonfigurować współistnienie, ale wymaga to kilku dodatkowych serwerów DNS systemu Windows, które są równe liczbie kontrolerów domeny w sieci.

Usługa Active Directory oczekuje strefy _msdcs i innych rzeczy, takich jak _tcp, _udp; itp.

Główne pytanie brzmi: jak sprawić, aby BIND9 zajmował się wszystkimi danymi specyficznymi dla AD? A dzięki dynamicznej aktualizacji, aby AD było jeszcze szczęśliwsze.

Dzięki,

PS: Utworzenie punktów BIND9 na serwerach DNS systemu Windows w celu rozwiązania stref określonych w usłudze Active Directory nie jest opcją. Już to robimy ...

EDYCJA: Na dzień dzisiejszy działam bez Windows DNS. Piszę przewodnik, jak to zrobić, i zaktualizuję ten temat.

linux windows domain-name-system active-directory bind Vinícius Ferrão
źródło
2
Ron Aitchison, autor Pro DNS i BIND: „... musiałbyś być wysoki, aby prowadzić domenę AD na BIND”. Przytoczę to z numerem strony, kiedy wrócę z pracy do domu.
Bigbio2002

Odpowiedzi:

9

Czy mogę całkowicie usunąć DNS systemu Windows na rzecz BIND9 w sieci AD?

Tak. Jak wskazano w joeqwerty, o ile serwer DNS spełnia wymagania DNS dotyczące obsługi Active Directory, można go używać jako AD DNS.
(BIND to robi, Microsoft nawet udostępnia wskazówki, z którymi łączy się Joe , i możesz znaleźć kilka artykułów w Google.

To nie jest pytanie, które powinieneś zadać . Pytanie, które powinieneś zadać, to:

POWINIENEM całkowicie usunąć DNS systemu Windows na rzecz BIND9 w sieci AD?

Moim osobistym zdaniem odpowiedź NIE JEST ABSOLUTNIE, chyba że lubisz ból.
Usługi AD i Windows DNS są ze sobą powiązane - z pewnością można je rozdzielić, ale nie będzie to przyjemne i może powodować problemy później.

Jeśli Twoim celem jest nie narażanie serwerów DNS systemu Windows (z powodów bezpieczeństwa, w celu zminimalizowania obciążenia serwera itp.) Lepszym rozwiązaniem jest uczynienie z serwerów BIND DNS niewolników, replikacja stref AD DNS.
To ukrywa serwery Windows przed ciekawskimi oczami (i nadmiernym obciążeniem), ale nadal pozwala Active Directory rozmawiać z serwerami DNS Windows, które zna i lubi.
Możesz nawet zminimalizować liczbę serwerów DNS systemu Windows, jeśli wybierzesz tę trasę, ponieważ jedynymi rzeczami, z którymi rozmawiamy, powinny być usługi Active Directory / DC (wprowadzanie aktualizacji) i serwery BIND pobierające te aktualizacje w celu dostarczenia ich do innych systemów).

voretaq7
źródło
9

  1. „Chciałbym usunąć funkcję DNS kontrolerów domeny Windows” - jest to niepoprawne. Rola DC i rola DNS to dwie osobne role. Są bardzo często instalowane na tym samym komputerze, ale nie jest to wymagane.

  2. „Wiem, że można skonfigurować współistnienie, ale wymaga to kilku dodatkowych serwerów DNS systemu Windows, które są równe liczbie kontrolerów domeny w sieci”. - To jest również niepoprawne. Kontrolery domeny nie wymagają dopasowania liczby serwerów DNS.

  3. Możesz używać serwera DNS innego niż Microsoft, o ile spełnia on wymagania DNS dotyczące obsługi AD. Jeśli Bind9 spełnia te wymagania, możesz z niego skorzystać.

joeqwerty
źródło
Dokumentacja firmy Microsoft mówi, że dobrym rozwiązaniem jest używanie serwera DNS na kontroler domeny. Ale rozumiem, że moje przesłanki są błędne. Nie ma z tym problemu, ale prawdziwe rozwiązanie problemu nie zostało przedstawione. W tej chwili przeprowadzam kilka testów, próbując rozwiązać ten problem.
Vinícius Ferrão
2
W swoim pytaniu nie przedstawiłeś problemu. Zapytałeś, czy BIND9 może być używany jako serwer DNS dla AD, a ja odpowiedziałem, że może, jeśli spełnia wymagania dotyczące obsługi AD. Ten artykuł sugeruje, że tak: technet.microsoft.com/en-us/library/dd316373.aspx
joeqwerty
Hm, myślałem, że główne pytanie jest jasne: „Jak sprawić, by BIND9 zajmował się wszystkimi danymi specyficznymi dla AD? I dzięki dynamicznej aktualizacji, aby AD była jeszcze szczęśliwsza”. Przepraszam, jeśli nie byłem w stanie wyrazić siebie ... Poczyniłem pewne postępy, ale nie mogę zaktualizować serwera DNS o nazwę przyłączonego komputera w domenie; jakiś pomysł Joe? Otrzymałem ten błąd na BIND9: „Debian 13 maja 20.20:34 o nazwie [5994]: klient 172.16.144.107 # 60932: odmowa aktualizacji„ domena.com/IN ”. Ale udzielenie zgody na cały adres IP nie było wykonalne opcja.
Vinícius Ferrão,
Czy w BIND DNS jest ustawienie umożliwiające niezabezpieczone aktualizacje? Jeśli tak, prawdopodobnie musisz to włączyć.
joeqwerty
2
@ ViníciusFerrão Musisz poprawnie skonfigurować BIND, aby obsługiwał dynamiczne aktualizacje z serwera AD. Zapoznaj się z dokumentacją BIND. Szczerze mówiąc, nie polecałbym tego - jeśli masz sieć Microsoft / AD, powinieneś użyć serwera Microsoft DNS i Zintegrowanych Stref AD (możliwe, że twoje serwery BIND będą niewolnikami dla strefy AD). Po prostu stwarzasz problemy dla siebie, próbując to połączyć.
voretaq7