Как я могу использовать DNS-сервер Linux BIND для моего леса Active Directory?
Я пытаюсь настроить лес Active Directory, который использует сервер Linux BIND для DNS. Цель состоит в том, чтобы контроллер домена (DC) имел возможность делать записи в файле /etc/bind/db.foresta.net с сервера Linux.
Вот диаграмма с моей текущей настройкой и спецификациями:
WinServer DC: dc.ntds.foresta.net Linux DNS: sysdns.foresta.net
Моя текущая конфигурация сервера Linux: http://pastebin.com/nz5GQcGY
На контроллере домена я настроил новый лес AD, а в конфигурациях IP я установил IP-адрес Linux-сервера как DNS. Но теперь проблема в том, что я не вижу новых записей в описанном выше файле (db.foresta.net) и не знаю, какие дальнейшие шаги мне нужно предпринять, чтобы это сработало.
Что пока работает: в Windows Server я могу открыть браузер и просматривать любой веб-сайт, используя этот DNS-сервер linux.
Мы ценим каждый отзыв.
Я читаю ваш вопрос о том, что вы вообще пытаетесь избежать использования DNS хоста контроллера домена AD. И это вполне допустимая конфигурация.
В основном у вас есть два варианта.
- Настройте BIND, чтобы разрешить контроллерам домена выполнять динамические обновления.
- Вручную заполнить записи DNS контроллеров домена в BIND после повышения контроллера домена
Вариант 1 самый распространенный. И способы настройки BIND для этого диапазона варьируются от простых белых списков IP до более сложных TSIG настройки. Но как только это будет сделано, ты золотой. Существует множество руководств по настройке BIND для DDNS. Если вам нужна конкретная помощь по этому поводу, вы можете создать отдельный вопрос.
Вариант 2 «проще» со стороны конфигурации BIND, но немного больше работы при продвижении DC. Существует файл, который создается на контроллере домена после повышения, который содержит все записи BIND, которые необходимо добавить для этого контроллера домена. %SYSTEMROOT%\system32\config\netlogon.dns Все, что вам действительно нужно сделать, это вручную добавить эти записи на ваш сервер BIND. Однако вам также необходимо будет обновлять эти записи каждый раз, когда вы вносите изменения в топологию AD или роль FSMO (добавление / удаление сайта, добавление / удаление домена и т. Д.).
Я рассмотрел две основные стратегии: делегирование и пересылку.
С делегированием вы настраиваете BIND в качестве подчиненного устройства для сервера AD, разгружая нагрузку запроса на сервер BIND. Пока AD остается SOA (ala ADI), любые динамические обновления по-прежнему будут отправляться в ящик AD. Вы по-прежнему можете настраивать другие зоны на сервере BIND, однако вы можете столкнуться с некоторыми проблемами с несколькими представлениями, которые я разбирал в прошлом, добавляя условные пересылки в поля AD.
При пересылке вы настраиваете свой сервер BIND для пересылки запросов в блоки AD, позволяя вам направлять своих клиентов на блоки BIND, чтобы они могли выполнять выборку и кэширование для запросов, не относящихся к AD, но это очень мало помогает разгрузить любые из загрузка клиента из ящиков AD.
Это скорее зависит от ваших целей и ресурсов относительно того, что лучше для вашей среды. Что очень важно, так это поддержание единого источника правды для зоны. Это сложнее при запуске BIND перед зонами ADI из-за того, что различные блоки AD хранят свои записи SOA и серийные номера, но если вы используете только один ADC, это даже не проблема.