В настоящее время мы используем две системы DNS. Домен Windows использует DNS Windows для внутреннего домена. Наша установка BIND9 обслуживает наш общедоступный DNS. Поскольку мы запускаем BIND в Unix, он получил название «Unix DNS». Все наши системы Unix / Linux имеют полные доменные имена нашего общественного достояния. Все системы Windows, присоединенные к домену, имеют полные доменные имена нашей внутренней сети, но также имеют запись BIND их hostname.publicdomain.edu, если к ним нужно получить доступ из Интернета.
Мы стремимся консолидировать наши системы DNS при переводе нашего домена на Windows 2008 R2. Цель состоит в том, чтобы использовать BIND для всего. Я знаю, что это возможно, но подробностей от Microsoft немного. Мы бы хотели отказаться или свести к минимуму использование или использование Windows DNS и DHCP. Мы также хотели бы рассмотреть возможность перехода в единое доменное пространство вместо того, чтобы просто разместить наш установочный узел BIND в отдельной зоне, которую в настоящее время обрабатывает система Windows.
Я провел достаточное количество исследований по этому поводу, и у меня достаточно информации, чтобы продвигаться вперед с тестовой средой, но я ищу других, кто уже сделал это или что-то подобное.
Плюсы? Минусы? Попался?
Я не делал этого раньше, но я знаю из комбинации документации от Microsoft и разговоров с клиентами, что можно использовать BIND9 для поддержки AD.
AD требует SRV RR. BIND9 может это сделать без проблем. Если у AD нет возможности разрешить различные записи записи SRV, которые он хочет зарегистрировать, произойдет множество неприятных вещей. Сбои репликации, сбой средства проверки согласованности знаний (который строит топологии внутрисайтовой репликации) и сбоев входа в систему с клиентов. Запись «A» для домена, которая по умолчанию разрешается для всех контроллеров домена в домене, используется DFS на клиентских компьютерах для определения местоположения домена SYSVOL и получения ссылки DFS на ближайшую копию файлы, поэтому он должен существовать, иначе групповая политика не будет работать должным образом.
Динамический DNS очень предпочтителен, потому что контроллеры домена AD хотят зарегистрировать достаточное количество записей (SRV RR, сайты и т. Д.). Динамические DN не обязательный, но вам придется вручную обновить зону при добавлении новых контроллеров домена или удалении старых. BIND 9.5.0 поддерживает GSS-TSIG, который клиенты Microsoft используют для выполнения динамических обновлений. Вам нужно будет интегрировать BIND с Kerberos, предоставляемым AD, чтобы это заработало, но вам действительно стоит это сделать, поскольку это даст вам безопасные динамические обновления.
Как ни странно, я слышал, как люди говорят о «случайных странностях» с использованием BIND9 вместо Microsoft DNS. Я никогда не работал напрямую в одной из этих сетей, но слышал это от людей, мнение которых я уважаю. Я предполагаю, что вполне могут быть небольшие артефакты реализации Microsoft DNS, которые лучше "работают" с AD, чем BIND9. DNS - это DNS, но я сомневаюсь, что Microsoft тестирует AD с BIND9 так же тщательно, как со своим собственным DNS-сервером.
Если вы собираетесь иметь такую унифицированную инфраструктуру DNS, как вы предлагаете, я настоятельно рекомендую использовать «представления» для ограничения доступа к зоне _msdcs.domain.suffix к сетям, в которых будут находиться компьютеры-члены домена. Нет смысла позволять Интернету видеть какую-либо информацию о компьютерах, сайтах и т.д. ваших контроллеров домена. В DNS, поддерживающем AD, есть полезная информация для злоумышленников.
Если я вас правильно понял, похоже, что вы можете также изменить существующее доменное имя DNS для домена Active Directory. Изменить это может быть проблематично, если это не предпринять должным образом. Существуют разветвления для Exchange, DFS, служб сертификации и доверительных отношений с другими доменами. Более подробную информацию можно получить в Microsoft по адресу: http://download.microsoft.com/download/9/6/5/965e6899-e086-4b3e-8ed6-516ea07ea225/domain-rename-intro.doc Переименовать домен вполне реально, но это должно быть запланированное и скоординированное действие.
В вашем заголовке упоминается ISC DHCPD, но ваш вопрос не касается этого. Я не помню, какие функции динамического обновления DNS присутствуют в ISC DHCPD, но вы всегда можете настроить компьютеры, входящие в домен, на выполнение своей собственной регистрации записей DNS A и PTR, а не полагаться на DHCP-сервер. (Я всегда думал, что иметь записи регистра A DHCP, поскольку стандартная конфигурация Microsoft работает, это отчасти глупо.) Нет никаких "специальных" опций, выдаваемых сервером Microsoft DHCP, которые сервер DHCP ISC не может обработать ( никаких проприетарных расширений протокола и т. д.). Я поддерживал клиентские компьютеры-члены домена Windows с различными DHCP-серверами (ISC, встроенными в устройства Cisco, Windows) без каких-либо побочных эффектов.