Ich möchte die DNS-Funktion von Windows-Domänencontrollern entfernen und die DNS-Server auf unsere BIND9-Server verweisen.
Ich weiß, dass es möglich ist, die Koexistenz einzurichten, aber dies erfordert eine Anzahl zusätzlicher Windows-DNS-Server, die der Anzahl der Domänencontroller im Netzwerk entspricht.
Active Directory erwartet die Zone _msdcs und andere Dinge wie _tcp, _udp; etc.
Die Hauptfrage ist: Wie kümmert sich BIND9 um all diese AD-spezifischen Daten? Und mit dynamischer Aktualisierung, um AD noch glücklicher zu machen.
Vielen Dank,
PS: Es ist keine Option, BIND9 auf die Windows-DNS-Server zu verweisen, um die Active Directory-spezifischen Zonen aufzulösen. Das machen wir schon ...
EDIT: Wie heute laufe ich ohne Windows DNS. Ich schreibe eine Anleitung dazu und werde dieses Thema aktualisieren.
quelle
Antworten:
Ja. Wie joeqwerty betonte, können Sie einen DNS-Server als AD-DNS verwenden , solange er die Anforderungen von DNS zur Unterstützung von Active Directory erfüllt.
(BIND bietet Microsoft sogar Anleitungen an, auf die Joe verlinkt hat , und Sie können eine Reihe von Artikeln bei Google finden.
Das ist jedoch nicht die Frage, die Sie stellen sollten . Die Frage, die Sie stellen sollten, lautet:
Meiner persönlichen Meinung nach lautet die Antwort ABSOLUT NICHT, es sei denn, Sie mögen Schmerzen.
AD und Windows DNS sind miteinander verflochten - Sie können sie sicherlich auseinander hebeln, aber dies ist nicht angenehm und kann später zu Problemen führen.
Wenn Sie Ihre Windows-DNS-Server nicht verfügbar machen möchten (aus Sicherheitsgründen, um die Serverlast zu minimieren usw.), ist es besser, Ihre BIND-DNS-Server zu Slaves zu machen und die AD-DNS-Zone (n) zu replizieren.
Dadurch werden die Windows-Server vor neugierigen Blicken (und übermäßiger Belastung) geschützt, Active Directory kann jedoch weiterhin mit den Windows-DNS-Servern kommunizieren, die es kennt und liebt.
Sie können sogar die Anzahl der Windows-DNS-Server minimieren, wenn Sie diesen Weg gehen, da nur Active Directory / DCs (Aktualisierungen) und die BIND-Server, die diese Aktualisierungen abrufen, um sie anderen Systemen bereitzustellen, mit ihnen sprechen sollten.
quelle
"Ich möchte die DNS-Funktion von Windows-Domänencontrollern entfernen" - Dies ist falsch. Die DC-Rolle und die DNS-Rolle sind zwei separate Rollen. Sie werden sehr oft auf demselben Computer installiert, dies ist jedoch keine Voraussetzung.
"Ich weiß, dass es möglich ist, die Koexistenz einzurichten, aber dies erfordert eine Anzahl zusätzlicher Windows-DNS-Server, die der Anzahl der Domänencontroller im Netzwerk entspricht." - Das ist auch falsch. Sie benötigen keine übereinstimmende Anzahl von DNS-Servern für Domänencontroller.
Sie können einen Nicht-Microsoft-DNS-Server verwenden, sofern dieser die Anforderungen von DNS zur Unterstützung von AD erfüllt. Wenn Bind9 diese Anforderungen erfüllt, können Sie es gerne verwenden.
quelle