Вопрос: Могу ли я полностью удалить Windows DNS в пользу BIND9 в сети AD?


Я хотел бы удалить функцию DNS для контроллеров домена Windows и указать DNS-серверы на наши серверы BIND9.

Я знаю, что можно настроить сосуществование, но для этого требуется количество дополнительных DNS-серверов Windows, равное количеству контроллеров домена в сети.

Active Directory ожидает зону _msdcs и другие вещи, такие как _tcp, _udp; и т.п.

Главный вопрос: как заставить BIND9 заботиться обо всех этих специальных данных AD? И с динамическим обновлением, чтобы сделать AD еще более счастливым.

Благодаря,

PS: Сделать BIND9 указывает на DNS-серверы Windows для разрешения определенных зон Active Directory, это не вариант. Мы уже это делаем ...

EDIT: Как сегодня, я работаю без Windows DNS. Я пишу руководство по тому, как это сделать, и я обновлю эту тему.


11
2018-05-19 22:23


Источник


От Ron Aitchison, автора Pro DNS и BIND, «... вам нужно быть высоким, чтобы запустить домен AD в BIND». Я приведу это с номером страницы, когда вернусь с работы. - Bigbio2002


Ответы:


Могу ли я полностью удалить Windows DNS в пользу BIND9 в сети AD?

Да. Как отметил Джокверти до тех пор, пока DNS-сервер удовлетворяет требованиям DNS в поддержку Active Directory, вы можете использовать его в качестве своего AD DNS.
(BIND делает, Microsoft даже дает рекомендации, которые Джо связал с, и вы можете найти кучу статей в Google.

Это не вопрос, который вам следует задавать, хотя, Вопрос, который вы должны задать:

ДОЛЖЕН Я полностью удаляю Windows DNS в пользу BIND9 в сети AD?

В моем личном мнении ответ ТОЧНО НЕТ если вам не нравится боль.
AD и Windows DNS переплетаются - вы можете разделить их друг с другом, но делать это не будет приятным и может создавать проблемы позже.

Если ваша цель состоит в том, чтобы не выставлять свои DNS-серверы Windows (по какой-то причине безопасности, чтобы минимизировать нагрузку на сервер и т. Д.), Лучше всего сделать ваши подчиненные DNS-серверы BIND, реплицируя зоны (зоны) AD DNS.
Это скрывает серверы Windows от посторонних глаз (и чрезмерной нагрузки), но все же позволяет Active Directory разговаривать с DNS-серверами Windows, которые он знает и любит.
Вы можете даже свести к минимуму количество DNS-серверов Windows, если вы идете по этому маршруту, поскольку единственное, что с ним говорит, должно быть Active Directory / DC (создание обновлений) и BIND-серверов, получающих эти обновления для обслуживания других систем).


9
2018-05-21 17:05





  1. «Я хотел бы удалить функцию DNS для контроллеров доменов Windows» - это неверно. Роль DC и роль DNS - две отдельные роли. Они очень часто устанавливаются на одной машине, но это не является обязательным требованием.

  2. «Я знаю, что можно настроить сосуществование, но для этого требуется, чтобы ряд дополнительных DNS-серверов Windows равнялся количеству контроллеров домена в сети». - Это неверно. Для контроллеров домена не требуется соответствующее количество DNS-серверов.

  3. Вы можете использовать DNS-сервер не Microsoft, если он отвечает требованиям DNS в поддержку AD. Если Bind9 отвечает этим требованиям, то вы более чем можете его использовать.


9
2018-05-19 22:39



Документация от Microsoft говорит, что использование DNS-сервера для постоянного тока является хорошей практикой. Но я понимаю, что мои помещения ошибаются. Нет проблем с этим, но реальное решение проблемы не было представлено. В настоящий момент я делаю некоторые тесты самостоятельно, пытаясь решить эту проблему. - Vinícius Ferrão
Вы на самом деле не задали проблему в своем вопросе. Вы спросили, может ли BIND9 использоваться в качестве DNS-сервера для AD, и я ответил, что он может, если он отвечает требованиям поддержки AD. Эта статья подразумевает, что она делает: technet.microsoft.com/en-us/library/dd316373.aspx - joeqwerty
Хм, я думал, что главный вопрос был ясен: «Как заставить BIND9 заботиться обо всех этих конкретных данных AD? И с динамическим обновлением, чтобы сделать AD еще более счастливым». Извините, если я не смог выразить себя ... Я сделал некоторый прогресс, но не могу обновить DNS-сервер с именем объединенного компьютера в домене; любая идея Джо? Я получил эту ошибку на BIND9: «13 мая 16:20:34 debian по имени [5994]: клиент 172.16.144.107 # 60932: обновление« domain.com/IN »отклонено« Но разрешение на все IP-адреса не было жизнеспособным вариант. - Vinícius Ferrão
Есть ли настройка в BIND DNS для обеспечения незащищенных обновлений? Если это так, возможно, это то, что вам нужно включить. - joeqwerty
@ ViníciusFerrão Вам необходимо правильно настроить BIND для поддержки динамических обновлений с вашего сервера AD. Обратитесь к документации BIND. Честно говоря, я бы не рекомендовал этого - если у вас есть сеть Microsoft / AD, вы должны использовать DNS-сервер Microsoft и интегрированные зоны AD (возможно, сделать ваши ведомые серверы BIND для зоны AD). Вы просто создаете проблемы для себя, пытаясь совместить это вместе. - voretaq7