Bir AD ağında Windows DNS'yi BIND9 lehine tamamen kaldırabilir miyim?

11

Windows Etki Alanı Denetleyicilerinin DNS özelliğini kaldırmak ve DNS sunucularını BIND9 sunucularımıza yönlendirmek istiyorum.

Birlikte varolabilmenin mümkün olduğunu biliyorum, ancak bu, ekstra Windows DNS Sunucularının ağdaki Etki Alanı Denetleyicilerinin sayısına eşit olmasını gerektirir.

Active Directory _msdcs bölgesini ve _tcp, _udp; vb.

Ana soru: BIND9'un bu AD'ye özgü tüm verileri nasıl ele alacağı? Ve AD'yi daha da mutlu etmek için dinamik güncelleme ile.

Teşekkürler,

Not: Active Directory'ye özgü bölgeleri çözmek için BIND9'u Windows DNS Sunucularına yönlendirmek bir seçenek değildir. Bunu zaten yapıyoruz ...

EDIT: Bugün olduğu gibi, Windows DNS olmadan çalışıyorum. Bunun nasıl yapılacağı hakkında bir rehber yazıyorum ve bu konuyu güncelleyeceğim.

linux  windows  domain-name-system  active-directory  bind 
Vinícius Ferrão
kaynak
2
Pro DNS ve BIND'in yazarı Ron Aitchison'dan "... BIND'de bir AD alanı çalıştırmak için yüksek olmanız gerekir". İşten eve döndüğümde bunu bir sayfa numarasıyla göstereceğim.
Bigbio2002

Yanıtlar:

9

Bir AD ağında Windows DNS'yi BIND9 lehine tamamen kaldırabilir miyim?

Evet. Bir DNS sunucusu, Active Directory'yi desteklemek için DNS gereksinimlerini karşıladığı sürece joeqwerty'nin belirttiği gibi, bunu AD DNS'niz olarak kullanabilirsiniz.
(BIND, Microsoft'un Joe'nun bağlantı verdiği rehberliğini bile sağlar ve Google'da bir sürü makale bulabilirsiniz.

Yine de sormanız gereken soru bu değil, sormanız gereken soru:

GEREKEN Tamamen bir AD ağında BIND9 lehine, Windows DNS kaldırmak?

Kişisel görüşüme göre, acıyı sevmediğiniz sürece cevap kesinlikle DEĞİLDİR .
AD ve Windows DNS iç içe geçmiştir - Kesinlikle birbirinden ayırabilirsiniz, ancak bunu yapmak hoş olmayacaktır ve daha sonra sorun yaratabilir.

Amacınız Windows DNS sunucularınızı ifşa etmemekse (bazı güvenlik nedenleriyle, sunucu yükünü en aza indirmek vb.) Daha iyi bir seçenek, BIND DNS sunucularınızı AD DNS bölgelerini çoğaltarak köle yapmaktır.
Bu, Windows sunucularını meraklı gözlerden (ve aşırı yükten) gizler, ancak Active Directory'nin bildiği ve sevdiği Windows DNS sunucularıyla konuşmasına izin verir.
Bu rotaya giderseniz Windows DNS sunucularının sayısını en aza indirebilirsiniz, çünkü onunla konuşan tek şey Active Directory / DC'ler (güncellemeler yapmak) ve bu güncelleştirmeleri diğer sistemlere sunmak için getiren BIND sunucuları olmalıdır.

voretaq7
kaynak
9

  1. "Windows Etki Alanı Denetleyicilerinin DNS özelliğini kaldırmak istiyorum" - Bu yanlış. DC rolü ve DNS rolü iki ayrı roldür. Aynı makineye çok sık monte edilirler, ancak bu bir gereklilik değildir.

  2. "Birlikte varolabilmenin mümkün olduğunu biliyorum, ancak bunun için fazladan Windows DNS Sunucuları ağdaki Etki Alanı Denetleyicilerinin sayısına eşittir." - Bu yanlış. Etki Alanı Denetleyicileri ile eşleşen sayıda DNS sunucusuna ihtiyacınız yoktur.

  3. AD'yi desteklemek için DNS gereksinimlerini karşıladığı sürece Microsoft dışı bir DNS sunucusu kullanabilirsiniz. Bind9 bu gereksinimleri karşılıyorsa, onu kullanmaktan memnuniyet duyarsınız.

joeqwerty
kaynak
Microsoft'un belgeleri DC başına DNS Sunucusu kullanmanın iyi bir uygulama olduğunu söylüyor. Ama binalarımın yanlış olduğunu anlayabiliyorum. Sorun değil, ama sorunun gerçek çözümü sunulmadı. Şu anda kendi başıma bazı testler yapıyorum, bunu çözmeye çalışıyorum.
Vinícius Ferrão
2
Aslında sorunuzda bir sorun belirtmediniz. BIND9'un AD için DNS sunucusu olarak kullanılıp kullanılamayacağını sordunuz ve AD'yi destekleme gereksinimlerini karşılayıp karşılamadığını yanıtladım. Bu makale öyle ima: technet.microsoft.com/en-us/library/dd316373.aspx
joeqwerty
Hm, ana sorunun açık olduğunu düşündüm: "BIND9'un bu AD'ye özgü tüm verileri nasıl halledeceğini? Ve AD'yi daha da mutlu etmek için dinamik güncelleme ile." Kendimi ifade edemediğim için üzgünüm ... Bir miktar ilerleme kaydettim, ancak DNS sunucusunu etki alanındaki bir makinenin adıyla güncelleyemiyorum; bir fikrin var mı Joe? Bu hatayı BIND9'da aldım: "13 Mayıs 16:20:34 [5994] adlı debian: istemci 172.16.144.107 # 60932: update 'domain.com/IN' reddedildi" Ancak tüm IP adreslerine izin vermek uygun değildi seçeneği.
Vinícius Ferrão
BIND DNS'de güvenli olmayan güncellemelere izin verecek bir ayar var mı? Öyleyse, muhtemelen etkinleştirmeniz gereken şey budur.
joeqwerty
2
@ ViníciusFerrão AD sunucunuzdan dinamik güncellemeleri desteklemek için BIND'ı düzgün yapılandırmanız gerekir. BIND belgelerine bakın. Dürüst olmak gerekirse ben bunu tavsiye etmem - Bir Microsoft / AD ağınız varsa, Microsoft DNS sunucusu ve AD Tümleşik Bölgeleri (muhtemelen BIND sunucularınızı AD bölgesi için köleler yapmak) kullanmalısınız. Bunu birlikte kaldırmaya çalışırken kendiniz için sorunlar yaratıyorsunuz.
voretaq7
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.