Posso remover completamente o DNS do Windows em favor do BIND9 em uma rede AD?

11

Gostaria de remover o recurso DNS dos controladores de domínio do Windows e apontar os servidores DNS para nossos servidores BIND9.

Sei que é possível configurar a coexistência, mas isso requer um número extra de servidores DNS do Windows igual ao número de controladores de domínio na rede.

O Active Directory espera a zona _msdcs e outras coisas como _tcp, _udp; etc.

A principal questão é: como fazer o BIND9 cuidar de todos esses dados específicos do AD? E com a atualização dinâmica para tornar o AD ainda mais feliz.

Obrigado,

PS: Fazer pontos BIND9 para os servidores DNS do Windows para resolver as zonas específicas do Active Directory não é uma opção. Nós já fazemos isso ...

EDIT: Como hoje, estou executando sem o DNS do Windows. Estou escrevendo um guia sobre como fazer isso e vou atualizar este tópico.

linux  windows  domain-name-system  active-directory  bind 
Vinícius Ferrão
fonte
2
De Ron Aitchison, autor do Pro DNS e BIND, "... você teria que ser alto para executar um domínio do AD no BIND". Vou citar isso com um número de página quando chegar em casa do trabalho.
Bigbio2002

Respostas:

9

Posso remover completamente o DNS do Windows em favor do BIND9 em uma rede AD?

Sim. Como joeqwerty apontou , desde que um servidor DNS atenda aos requisitos do DNS de suporte ao Active Directory, você poderá usá-lo como seu DNS AD.
(O BIND fornece, a Microsoft até fornece orientações às quais Joe vinculou , e você pode encontrar vários artigos no Google.

Essa não é a pergunta que você deve fazer , a pergunta que você deve fazer é:

DEVO remover completamente o DNS do Windows em favor do BIND9 em uma rede AD?

Na minha opinião pessoal, a resposta é ABSOLUTAMENTE NÃO, a menos que você goste de dor.
O AD e o DNS do Windows estão interligados - você certamente pode separá-los, mas isso não será agradável e poderá criar problemas mais tarde.

Se seu objetivo é não expor os servidores DNS do Windows (por algum motivo de segurança, minimizar a carga do servidor etc.), uma opção melhor é tornar os servidores DNS BIND escravos, replicando a (s) zona (s) DNS do AD.
Isso oculta os servidores Windows de olhares indiscretos (e carga excessiva), mas ainda permite que o Active Directory converse com os servidores DNS do Windows que ele conhece e adora.
Você pode até minimizar o número de servidores DNS do Windows se seguir este caminho, pois as únicas coisas a falar com ele devem ser o Active Directory / DCs (fazendo atualizações) e os servidores BIND que buscam essas atualizações para servir a outros sistemas.

voretaq7
fonte
9

  1. "Gostaria de remover o recurso DNS dos controladores de domínio do Windows" - isso está incorreto. A função DC e a função DNS são duas funções separadas. Eles são frequentemente instalados na mesma máquina, mas isso não é um requisito.

  2. "Eu sei que é possível configurar a coexistência, mas isso requer um número extra de servidores DNS do Windows igual ao número de controladores de domínio na rede". - Isso também está incorreto. Você não precisa de um número correspondente de servidores DNS para controladores de domínio.

  3. Você pode usar um servidor DNS que não seja da Microsoft, desde que atenda aos requisitos do DNS no suporte ao AD. Se o Bind9 atender a esses requisitos, você poderá usá-lo.

joeqwerty
fonte
A documentação da Microsoft diz que usar um servidor DNS por controlador de domínio é uma boa prática. Mas posso entender que minhas premissas estão erradas. Não há problema, mas a solução real para o problema não foi apresentada. Estou fazendo alguns testes por conta própria neste momento, tentando resolver isso.
Vinícius Ferrão
2
Você não declarou um problema na sua pergunta. Você perguntou se o BIND9 pode ser usado como servidor DNS do AD e eu respondi que sim se atender aos requisitos de suporte ao AD. Este artigo implica que ele faz: technet.microsoft.com/en-us/library/dd316373.aspx
joeqwerty
Hum, pensei que a questão principal era clara: "Como fazer o BIND9 cuidar de todos esses dados específicos do AD? E com a atualização dinâmica para tornar o AD ainda mais feliz". Desculpe se não consegui me expressar ... fiz alguns progressos, mas não consigo atualizar o servidor DNS com o nome de uma máquina ingressada no domínio; alguma ideia Joe? Eu recebi este erro no BIND9: "13 de maio 16:20:34 debian chamado [5994]: cliente 172.16.144.107 # 60932: atualização 'domain.com/IN' negada" Mas conceder permissão para todo o endereço IP não era viável opção.
Vinícius Ferrão
Existe uma configuração no BIND DNS para permitir atualizações não seguras? Nesse caso, é provavelmente o que você precisa ativar.
Joeqwerty
2
@ ViníciusFerrão Você precisa configurar corretamente o BIND para oferecer suporte a atualizações dinâmicas do seu servidor AD. Consulte a documentação do BIND. Honestamente, eu não recomendaria isso - Se você possui uma rede Microsoft / AD, deve usar o servidor DNS da Microsoft e as Zonas Integradas do AD (possivelmente tornando seus servidores BIND escravos da zona AD). Você está apenas criando problemas para tentar resolver isso juntos.
precisa saber é o seguinte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.