Назад | Перейти на главную страницу

Как я могу заставить BIND и Microsoft DNS хорошо работать вместе?

Я хотел бы попробовать переместить как можно больше конфигурации DNS нашей компании в BIND, потому что мне легче работать, но наличие Active Directory означает, что у нас должна быть хотя бы зона домена в Microsoft DNS.

Возможно, я мог бы иметь зону домена (например, company.local) в MSDNS, но иметь другую зону в BIND (например, company.org), которая имеет прямую и обратную зоны для тех же компьютеров. Сервер DHCP может назначить BIND как первичный и вторичный DNS, и мы просто используем эту зону для повседневного использования. Мы также могли бы создать подчиненные зоны для доменной зоны в BIND, мы просто переместим все явные операции DNS в BIND, но сохраним доменную зону доступной через BIND, чтобы AD могла работать.

Кто-нибудь сделал это и преуспел? Или это чрезвычайно плохая идея? :)

Мы делаем это. Не уверен, что рекомендую, но мы делаем это:

Сервер Solaris с BIND

  • работает авторитетно для каждого домена пересылки, кроме example.ad
  • авторизируется для каждой зоны in-addr.arpa, кроме тех, которые обслуживаются AD DHCP
  • тянет slave например. ad и DHCP диапазоны с серверов AD DNS

Linux-сервер, на котором запущен BIND

  • тянет slave например. ad и DHCP диапазоны с серверов AD DNS
  • тянет раб для всего остального с solaris primary.

Серверы AD DNS

  • запускает master например .ad
  • запускает мастер для любой зоны in-addr.arpa, обслуживаемой AD DHCP.
  • перенаправляет все рекурсивные запросы к установкам Solaris / linux BIND

Клиенты Windows

  • Назначил DNS-серверы AD службой AD DHCP. Мы поэкспериментировали с этим и обнаружили, что «семейство продуктов Microsoft», которое мы использовали, не понравилось отсутствие сервера AD DNS. Возможно, мы отказались от этого слишком рано, но, насколько я помню, все прошло не очень хорошо.

UNIX / Linux / операционные клиенты:

  • жестко закодированные DNS-серверы BIND

На практике мы приняли следующие правила:

  • любая запись, которая относится к сервисам IT-класса (обмен и т. д.), получает запись A в example.ad и получает CNAME для record.example.ad в example.com
  • любая запись, относящаяся к рабочему или сетевому оборудованию, получает запись A в example.com и CNAME в example.ad.

Наша настройка на самом деле даже немного сложнее, потому что мы купили компанию, которая использует Netware / AD для DNS / DHCP, поэтому у нас есть аналогичный набор правил для них.

Я не уверен, что рекомендовал бы делать это, если ваша рука не принуждена. Наша установка - это попытка сделать лучшее из плохого стечения обстоятельств. Однако я должен признать, что мне нравится использовать BIND намного больше, чем AD DNS, поэтому, поскольку мы явно не собираемся избавляться от AD, это хороший способ иметь некоторые использование BIND.

Одна из наших проблем - кэширование на сервере AD DNS. Мы попытались объяснить нашим клиентам, что их ноутбуки используют AD DNS, но изменения вносятся в BIND, поэтому, если они вносят изменения и хотят проверить их, им придется вручную искать их на правильных серверах. Это раздражает, но проблема возникает на удивление часто.

Надеюсь, это поможет.

Я делал это раньше и постараюсь восстановить по памяти то, что сделал.

Ситуация:

Контроллер домена Windows 2000, различные рабочие столы Windows, среда AD. DNS-сервер необходимо перезапускать каждые несколько дней, потому что он просто перестанет работать.

Решение:

У меня был компьютер с Linux в сети, на котором запущен небольшой сайт интрасети, поэтому я сбросил BIND на этот ящик. Я установил BIND в качестве подчиненного устройства в зоне и настроил систему Windows 2000 для отправки ей передачи домена. Затем я сконфигурировал DHCP-сервер в Windows 2000, чтобы использовать BIND в качестве первичного DNS-сервера, а Windows 2000 в качестве вторичного DNS-сервера. Теперь все обновления таблицы DNS в окне Windows 2000 (включая клиентские блоки, поскольку все они были DHCP) публиковались на сервере BIND, и все работало отлично. Больше никогда не пришлось перезапускать DNS-сервер Windows 2000.

Ключевой проблемой является обновление динамического DNS Active Directory, которое он выполняет для записей A контроллеров домена, записей PTR и самой записи domain.com ... плюс подчеркнутые зоны _msdcs.domain.com, _sites.domain.com , _tcp.domain.com, _udp.domain.com.

Если ваша версия BIND может поддерживать эти динамические обновления, вы можете просто использовать BIND.

Если нет, то вы должны использовать MS-DNS для подчеркнутых зон, однако вы можете вручную кодировать записи A, PTR и domain.com самостоятельно и поддерживать их, если / когда вы добавляете / удаляете DC. Сделайте MS-DNS полномочным органом для подчеркнутых зон и пересылайте / пересылайте их в BIND, чтобы клиенты могли их найти.

Или используйте совершенно другой домен для AD (если можете), например corp.domain.com, разместите его полностью в MS-DNS и передайте / перенаправьте его в BIND.

Клиентские машины Windows также захотят динамически создавать записи A / PTR, поэтому BIND сам должен делать это за них или разрешать им это делать, или снова использовать MS-DNS для всей зоны.

Смешивание Bind и MSDNS довольно хорошо документировано, быстрый поиск вызван http://support.microsoft.com/kb/255913, но, вероятно, есть еще кое-что.

Вы должны решить, что вам нужно. В предыдущей компании я устанавливал привязку для всего, кроме _ {msdcs, sites, tcp, udp} и субдомена, где располагались рабочие столы, чтобы они могли выполнять безопасные динамические обновления. Просто работает. (DHCP был в Unix.)

Их смешение требует дополнительной работы, чтобы поддерживать чистоту и актуальность, но это не конец света.

Именно так мы и поступили в нашей старой компании:

company.com был официальным доменом, который мы поддерживали в BIND

company.net доменное имя AD - AD может делать все, что хочет в этой зоне, и нам все равно

Это держало вещи хорошо разделенными для нас и отлично работало.