Мне нужно настроить небольшую сеть Windows внутри моей более крупной инфраструктуры Linux / Mac. Чтобы клиенты Windows входили в домен, мне пришлось сделать DC своим основным DNS-сервером, который, похоже, сработал.
Я бы предпочел иметь один DNS-сервер, работающий в моей сети, или хотя бы один полномочный сервер, работающий в сети.
У меня есть маршрутизатор / брандмауэр USG 200, и я могу настроить некоторые статические записи для DNS, но я не уверен, что мне нужно добавить, чтобы DNS и AD работали вместе, и я ценю подсказки и советы.
Первое, что вам следует знать, это то, что Active Directory и DNS настолько взаимосвязаны, что являются почти одним целым. Во всех смыслах и целях вы должны забыть об идее наличия домена Active Directory, в котором нет основного DNS-сервера для клиентов Windows.
Я не скажу, что это «невозможно», но я настоятельно рекомендую вам, что это путь, в котором есть только боль.
В качестве альтернативы, почему бы не позволить AD и DNS работать вместе, а затем добавить пересылки к вашим обычным DNS-серверам. Это тот же конечный результат, вы можете в основном забыть о своем DNS-сервере Microsoft, поскольку он просто будет продолжать делать свои собственные дела, пока вы активно поддерживаете и обновляете свои другие серверы имен.
Просто разверните AD на поддомене, например windowsdomain.example.com, а не на example.com, а затем делегируйте этот поддомен своим контроллерам домена. Таким образом вы получите два домена, которые потенциально можно разделить для большей безопасности.
Вам не нужно запускать Windows DNS на контроллере домена для правильной работы AD. DNS - это основа AD, поэтому перед добавлением активного каталога вы хотите иметь очень устойчивую и надежную инфраструктуру DNS. Я настоятельно рекомендую использовать либо окна, либо существующую инфраструктуру DNS, но я бы не стал использовать оба. Bind 9 будет работать нормально. Вы должны убедиться, что пространство имен, которое вы используете, действительно для активного каталога.