Posso rimuovere completamente il DNS di Windows a favore di BIND9 in una rete AD?

11

Vorrei rimuovere la funzione DNS dei controller di dominio Windows e indirizzare i server DNS ai nostri server BIND9.

So che è possibile impostare la coesistenza, ma ciò richiede un numero di server DNS Windows aggiuntivi pari al numero di controller di dominio nella rete.

Active Directory prevede la zona _msdcs e altre cose come _tcp, _udp; eccetera.

La domanda principale è: come fare BIND9 si occupa di tutti questi dati specifici di AD? E con l'aggiornamento dinamico per rendere l'AD ancora più felice.

Grazie,

PS: Rendere BIND9 punti ai server DNS di Windows per risolvere le zone specifiche di Active Directory non è un'opzione. Lo facciamo già ...

EDIT: Come oggi, sto funzionando senza Windows DNS. Sto scrivendo una guida su come eseguire questa operazione e aggiornerò questo argomento.

linux  windows  domain-name-system  active-directory  bind 
Vinícius Ferrão
fonte
2
Da Ron Aitchison, autore di Pro DNS e BIND, "... dovresti essere alto per eseguire un dominio AD su BIND". Lo citerò con un numero di pagina quando torno a casa dal lavoro.
Bigbio2002,

Risposte:

9

Posso rimuovere completamente il DNS di Windows a favore di BIND9 in una rete AD?

Sì. Come sottolineato da joeqwerty , purché un server DNS soddisfi i requisiti del DNS a supporto di Active Directory, è possibile utilizzarlo come AD DNS.
(BIND lo fa, Microsoft fornisce persino indicazioni a cui Joe ha collegato e puoi trovare un sacco di articoli su Google.

Questa non è la domanda che dovresti porre , tuttavia , la domanda che dovresti porre è:

DOVREI Ho rimuovere completamente il DNS di Windows a favore di BIND9 in una rete pubblicitaria?

Secondo me la risposta è ASSOLUTAMENTE NON se non ti piace il dolore.
AD e Windows DNS sono intrecciati: puoi certamente separarli, ma farlo non sarà piacevole e potrebbe creare problemi in seguito.

Se il tuo obiettivo è quello di non esporre i tuoi server DNS di Windows (per qualche motivo di sicurezza, per ridurre al minimo il carico del server, ecc.) Un'opzione migliore è rendere schiavi i tuoi server DNS BIND, replicando le zone del DNS AD.
Ciò nasconde i server Windows da occhi indiscreti (e un carico eccessivo), ma consente comunque ad Active Directory di comunicare con i server DNS di Windows che conosce e ama.
Puoi anche ridurre al minimo il numero di server DNS Windows se segui questa strada, poiché le uniche cose che parlano con esso dovrebbero essere Active Directory / DC (effettuando aggiornamenti) e i server BIND che recuperano quegli aggiornamenti per servire ad altri sistemi).

voretaq7
fonte
9

  1. "Vorrei rimuovere la funzione DNS dei controller di dominio Windows" - Questo non è corretto. Il ruolo DC e il ruolo DNS sono due ruoli separati. Sono spesso installati sulla stessa macchina ma questo non è un requisito.

  2. "So che è possibile impostare la coesistenza, ma ciò richiede un numero di server DNS Windows aggiuntivi pari al numero di controller di dominio nella rete." - Questo è purtroppo errato. Non è necessario un numero corrispondente di server DNS per i controller di dominio.

  3. È possibile utilizzare un server DNS non Microsoft purché soddisfi i requisiti di DNS a supporto di AD. Se Bind9 soddisfa questi requisiti, allora sei il benvenuto.

joeqwerty
fonte
La documentazione di Microsoft afferma che l'utilizzo di un server DNS per controller di dominio è una buona pratica. Ma capisco che le mie premesse sono sbagliate. Nessun problema, ma la vera soluzione del problema non è stata presentata. Sto facendo dei test da solo in questo momento, cercando di risolverlo.
Vinícius Ferrão,
2
In realtà non hai dichiarato un problema nella tua domanda. Mi hai chiesto se BIND9 può essere utilizzato come server DNS per AD e ho risposto che può soddisfare i requisiti per supportare AD. Questo articolo implica che lo faccia: technet.microsoft.com/en-us/library/dd316373.aspx
joeqwerty
Hm, ho pensato che la domanda principale fosse chiara: "Come rendere BIND9 si occupa di tutti questi dati specifici di AD? E con un aggiornamento dinamico per rendere l'AD ancora più felice". Scusate se non sono stato in grado di esprimermi ... Ho fatto qualche progresso, ma non riesco ad aggiornare il server DNS con il nome di una macchina unita nel dominio; qualche idea Joe? Ho riscontrato questo errore su BIND9: "debian 13 maggio 16:20:34 chiamato [5994]: client 172.16.144.107 # 60932: aggiornamento 'domain.com/IN' negato" Ma dare l'autorizzazione a tutti gli indirizzi IP non è stato praticabile opzione.
Vinícius Ferrão,
Esiste un'impostazione nel DNS BIND per consentire aggiornamenti non sicuri? In tal caso, probabilmente è quello che devi abilitare.
joeqwerty,
2
@ ViníciusFerrão Devi configurare correttamente BIND per supportare gli aggiornamenti dinamici dal tuo server AD. Fare riferimento alla documentazione di BIND. Onestamente non lo consiglierei - Se si dispone di una rete Microsoft / AD, è necessario utilizzare il server DNS Microsoft e le zone integrate AD (probabilmente rendendo i server BIND schiavi per la zona AD). Stai solo creando problemi per te stesso cercando di mettere insieme questo.
voretaq7,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.