Wir machen das. Ich bin mir nicht sicher, ob ich es empfehlen würde, aber wir machen es:
Solaris-Server mit BIND
- wird für jede Forward-Domain mit Ausnahme von example.ad autorisierend ausgeführt
- wird für jede inaddr.arpa-Zone mit Ausnahme derjenigen, die von AD DHCP bereitgestellt werden, autorisierend ausgeführt
- zieht zum Beispiel Slave.ad und DHCP-Bereiche von AD-DNS-Servern
Linux-Server mit BIND
- zieht zum Beispiel Slave.ad und DHCP-Bereiche von AD-DNS-Servern
- zieht Sklave für alles andere von Solaris Primary.
AD DNS-Server
- führt master zum Beispiel aus
- Führt den Master für jede von AD DHCP bereitgestellte Zone inaddr.arpa aus.
- leitet alle rekursiven Anforderungen an die installierten Solaris / Linux-BIND weiter
Windows-Clients
- Zuweisung der AD DNS-Server durch AD DHCP. Wir haben damit experimentiert und festgestellt, dass "die von uns verwendete Microsoft-Produktfamilie" den AD-DNS-Server nicht gern hatte. Wir haben vielleicht zu früh aufgegeben, aber es lief nicht gut, soweit ich mich erinnere.
UNIX / Linux / operative Clients:
- fest codierte BIND-DNS-Server
In der Praxis haben wir folgende Richtlinien erlassen:
- Jeder Datensatz, der sich auf Dienste der IT-Klasse bezieht (Austausch usw.), erhält in example.ad einen A-Datensatz und in example.com einen CNAME für record.example.ad
- Jeder Datensatz, der sich auf Betriebs- oder Netzwerkgeräte bezieht, erhält einen A-Datensatz in example.com und einen CNAME in example.ad.
Unser Setup ist sogar noch etwas komplexer, da wir eine Firma gekauft haben, die Netware / AD für DNS / DHCP verwendet, sodass wir ähnliche Regeln für sie haben.
Ich bin mir nicht sicher, ob ich dies empfehlen würde, wenn Ihre Hand nicht gezwungen wird. Unsere Installation ist ein Versuch, das Beste aus schlechten Umständen herauszuholen. Aber ich muss zugeben, dass ich wie BIND mit so viel mehr als AD DNS, also, da wir eindeutig nicht loswerden AD in Gang zu bringen, es ist eine schöne Art und Weise zu haben einige Verwendung von BIND.
Ein Problem, das wir hatten, ist das Zwischenspeichern auf dem AD-DNS-Server. Wir haben versucht, unsere operativen Kunden darüber zu informieren, dass ihre Laptops AD DNS verwenden. Änderungen werden jedoch in BIND vorgenommen. Wenn sie also Änderungen vornehmen und diese überprüfen möchten, müssen sie diese manuell auf den richtigen Servern nachschlagen. Das ist ärgerlich, aber es ist ein Problem, das überraschend oft auftaucht.
Ich hoffe, das hilft.
Ich habe das schon einmal gemacht und ich werde versuchen, aus dem Gedächtnis zu rekonstruieren, was ich getan habe.
Die Situation:
Win2K-Domänencontroller, verschiedene Windows-Desktops, AD-Umgebung. Der DNS-Server müsste alle paar Tage neu gestartet werden, da er einfach nicht mehr funktioniert.
Die Lösung:
Ich hatte eine Linux-Box im Netzwerk, auf der eine kleine Intranetsite ausgeführt wurde, also habe ich BIND auf dieser Box abgelegt. Ich habe BIND als Slave in der Zone eingerichtet und die Win2K-Box so konfiguriert, dass Domänenübertragungen an sie gesendet werden. Dann habe ich den DHCP-Server auf der Win2K-Box so konfiguriert, dass die BIND-Box als primärer DNS-Server und die Win2K-Box als sekundärer DNS-Server bereitgestellt wird. Jetzt werden alle Aktualisierungen der DNS-Tabelle auf der Win2K-Box (einschließlich der Client-Boxen, da sie alle DHCP waren) auf dem BIND-Server veröffentlicht, und alles hat hervorragend funktioniert. Der Win2K-DNS-Server musste nie wieder neu gestartet werden.
quelle
Das Hauptproblem sind die dynamischen Active Directory-DNS-Aktualisierungen, die für die A-Einträge der Domänencontroller, die PTR-Einträge und den Eintrag von domain.com selbst durchgeführt werden. Außerdem die unterstrichenen Zonen _msdcs.domain.com, _sites.domain.com , _tcp.domain.com, _udp.domain.com.
Wenn Ihre BIND-Version diese dynamischen Updates unterstützen kann, können Sie einfach BIND verwenden.
Wenn nicht, müssen Sie MS-DNS für die unterstrichenen Zonen verwenden. Sie können den A-, PTR- und domain.com-Eintrag jedoch manuell codieren und verwalten, wenn Sie DCs hinzufügen / entfernen. Machen Sie MS-DNS zur Autorität für die unterstrichenen Zonen und übertragen / leiten Sie sie an BIND weiter, damit Clients sie finden können.
Oder verwenden Sie eine andere Domain vollständig für AD (wenn Sie können) wie corp.domain.com, hosten Sie diese vollständig in MS-DNS und übertragen Sie sie an BIND.
Windows-Clientcomputer möchten auch dynamisch A / PTR-Einträge erstellen. BIND selbst muss dies für sie tun oder ihnen erlauben, dies zu tun, oder erneut MS-DNS für die gesamte Zone verwenden.
quelle
Genau das haben wir in unserer alten Firma gemacht:
company.comwar die offizielle Domain, die wir in BIND gepflegt habencompany.netwar der AD-Domainname - AD konnte in dieser Zone alles tun, was es wollte, und es wäre uns egalDies hielt die Dinge für uns schön getrennt und funktionierte großartig.
quelle
Das Mischen von Bind und MSDNS ist ziemlich gut dokumentiert. Eine schnelle Suche ergab http://support.microsoft.com/kb/255913 , aber es gibt wahrscheinlich noch mehr.
Sie müssen entscheiden, was Sie haben möchten. Vorherige Firma, ich habe die Bindung für alles eingerichtet, außer für _ {msdcs, sites, tcp, udp} und eine Subdomain, in der Desktops lebten, damit sie sichere dynamische Updates durchführen konnten. Es funktioniert einfach. (DHCP war unter Unix.)
Das Mischen der beiden bringt zusätzliche Arbeit mit sich, um die Dinge sauber und auf dem neuesten Stand zu halten, aber es ist nicht das Ende der Welt
quelle