Kann ich das Windows-DNS zugunsten von BIND9 in einem AD-Netzwerk vollständig entfernen?

11

Ich möchte die DNS-Funktion von Windows-Domänencontrollern entfernen und die DNS-Server auf unsere BIND9-Server verweisen.

Ich weiß, dass es möglich ist, die Koexistenz einzurichten, aber dies erfordert eine Anzahl zusätzlicher Windows-DNS-Server, die der Anzahl der Domänencontroller im Netzwerk entspricht.

Active Directory erwartet die Zone _msdcs und andere Dinge wie _tcp, _udp; etc.

Die Hauptfrage ist: Wie kümmert sich BIND9 um all diese AD-spezifischen Daten? Und mit dynamischer Aktualisierung, um AD noch glücklicher zu machen.

Vielen Dank,

PS: Es ist keine Option, BIND9 auf die Windows-DNS-Server zu verweisen, um die Active Directory-spezifischen Zonen aufzulösen. Das machen wir schon ...

EDIT: Wie heute laufe ich ohne Windows DNS. Ich schreibe eine Anleitung dazu und werde dieses Thema aktualisieren.

linux windows domain-name-system active-directory bind Vinícius Ferrão
quelle
2
Von Ron Aitchison, Autor von Pro DNS und BIND, "... Sie müssten hoch sein, um eine AD-Domain auf BIND zu betreiben". Ich werde das mit einer Seitenzahl zitieren, wenn ich von der Arbeit nach Hause komme.
Bigbio2002

Antworten:

9

Kann ich das Windows-DNS zugunsten von BIND9 in einem AD-Netzwerk vollständig entfernen?

Ja. Wie joeqwerty betonte, können Sie einen DNS-Server als AD-DNS verwenden , solange er die Anforderungen von DNS zur Unterstützung von Active Directory erfüllt.
(BIND bietet Microsoft sogar Anleitungen an, auf die Joe verlinkt hat , und Sie können eine Reihe von Artikeln bei Google finden.

Das ist jedoch nicht die Frage, die Sie stellen sollten . Die Frage, die Sie stellen sollten, lautet:

SOLLTE ich das Windows-DNS zugunsten von BIND9 in einem AD-Netzwerk vollständig entfernen?

Meiner persönlichen Meinung nach lautet die Antwort ABSOLUT NICHT, es sei denn, Sie mögen Schmerzen.
AD und Windows DNS sind miteinander verflochten - Sie können sie sicherlich auseinander hebeln, aber dies ist nicht angenehm und kann später zu Problemen führen.

Wenn Sie Ihre Windows-DNS-Server nicht verfügbar machen möchten (aus Sicherheitsgründen, um die Serverlast zu minimieren usw.), ist es besser, Ihre BIND-DNS-Server zu Slaves zu machen und die AD-DNS-Zone (n) zu replizieren.
Dadurch werden die Windows-Server vor neugierigen Blicken (und übermäßiger Belastung) geschützt, Active Directory kann jedoch weiterhin mit den Windows-DNS-Servern kommunizieren, die es kennt und liebt.
Sie können sogar die Anzahl der Windows-DNS-Server minimieren, wenn Sie diesen Weg gehen, da nur Active Directory / DCs (Aktualisierungen) und die BIND-Server, die diese Aktualisierungen abrufen, um sie anderen Systemen bereitzustellen, mit ihnen sprechen sollten.

voretaq7
quelle
9

  1. "Ich möchte die DNS-Funktion von Windows-Domänencontrollern entfernen" - Dies ist falsch. Die DC-Rolle und die DNS-Rolle sind zwei separate Rollen. Sie werden sehr oft auf demselben Computer installiert, dies ist jedoch keine Voraussetzung.

  2. "Ich weiß, dass es möglich ist, die Koexistenz einzurichten, aber dies erfordert eine Anzahl zusätzlicher Windows-DNS-Server, die der Anzahl der Domänencontroller im Netzwerk entspricht." - Das ist auch falsch. Sie benötigen keine übereinstimmende Anzahl von DNS-Servern für Domänencontroller.

  3. Sie können einen Nicht-Microsoft-DNS-Server verwenden, sofern dieser die Anforderungen von DNS zur Unterstützung von AD erfüllt. Wenn Bind9 diese Anforderungen erfüllt, können Sie es gerne verwenden.

Joeqwerty
quelle
In der Dokumentation von Microsoft heißt es, dass die Verwendung eines DNS-Servers pro DC eine gute Vorgehensweise ist. Aber ich kann verstehen, dass meine Prämissen falsch sind. Kein Problem damit, aber die wirkliche Lösung für das Problem wurde nicht vorgestellt. In diesem Moment mache ich einige Tests alleine und versuche dies zu lösen.
Vinícius Ferrão
2
Sie haben in Ihrer Frage kein Problem angegeben. Sie haben gefragt, ob BIND9 als DNS-Server für AD verwendet werden kann, und ich habe geantwortet, dass dies möglich ist, wenn es die Anforderungen für die Unterstützung von AD erfüllt. Dieser Artikel impliziert, dass dies der Fall ist: technet.microsoft.com/en-us/library/dd316373.aspx
joeqwerty
Hm, ich dachte, dass die Hauptfrage klar war: "Wie macht BIND9 all diese AD-spezifischen Daten? Und mit dynamischer Aktualisierung, um AD noch glücklicher zu machen." Es tut mir leid, wenn ich mich nicht ausdrücken konnte ... Ich habe einige Fortschritte erzielt, kann den DNS-Server jedoch nicht mit dem Namen eines verbundenen Computers in der Domäne aktualisieren. Irgendeine Idee, Joe? Ich habe diesen Fehler auf BIND9 erhalten: "13. Mai 16:20:34 Debian mit dem Namen [5994]: Client 172.16.144.107 # 60932: Update 'domain.com/IN' verweigert" Aber die Erlaubnis für alle IP-Adressen war nicht möglich Möglichkeit.
Vinícius Ferrão
Gibt es eine Einstellung in BIND DNS, um unsichere Updates zuzulassen? Wenn ja, müssen Sie dies wahrscheinlich aktivieren.
Joeqwerty
2
@ ViníciusFerrão Sie müssen BIND ordnungsgemäß konfigurieren, um dynamische Updates von Ihrem AD-Server zu unterstützen. Siehe die BIND-Dokumentation. Ehrlich gesagt würde ich dies nicht empfehlen - Wenn Sie ein Microsoft / AD-Netzwerk haben, sollten Sie den Microsoft DNS-Server und AD Integrated Zones verwenden (möglicherweise machen Sie Ihre BIND-Server zu Slaves für die AD-Zone). Sie schaffen sich nur Probleme, wenn Sie versuchen, dies zusammenzubasteln.
voretaq7