Я хотел бы удалить функцию DNS из контроллеров домена Windows и указать DNS-серверы на наши серверы BIND9.
Я знаю, что можно настроить сосуществование, но для этого требуется количество дополнительных DNS-серверов Windows, равное количеству контроллеров домена в сети.
Active Directory ожидает зону _msdcs и другие вещи, такие как _tcp, _udp; и т.п.
Главный вопрос: как сделать так, чтобы BIND9 заботился обо всех этих данных, специфичных для AD? И с динамическим обновлением, чтобы сделать AD еще более счастливым.
Спасибо,
PS: Создание BIND9 указывает на DNS-серверы Windows для разрешения конкретных зон Active Directory - не вариант. Мы это уже делаем ...
РЕДАКТИРОВАТЬ: Как и сегодня, я работаю без Windows DNS. Я пишу гайд, как это сделать, и обновлю эту тему.
«Я хочу удалить функцию DNS контроллеров домена Windows» - это неверно. Роль DC и роль DNS - это две разные роли. Они очень часто устанавливаются на одном компьютере, но это не является обязательным требованием.
«Я знаю, что можно настроить сосуществование, но для этого требуется количество дополнительных DNS-серверов Windows, равное количеству контроллеров домена в сети». - Это тоже неверно. Вам не требуется соответствующее количество DNS-серверов для контроллеров домена.
Вы можете использовать DNS-сервер, отличный от Microsoft, если он соответствует требованиям DNS для поддержки AD. Если Bind9 соответствует этим требованиям, вы можете использовать его.
Могу ли я полностью удалить Windows DNS в пользу BIND9 в сети AD?
Да. Как отметил Joeqwerty если DNS-сервер соответствует требованиям DNS для поддержки Active Directory, вы можете использовать его в качестве AD DNS.
(BIND делает, Microsoft даже предоставляет руководство, которое Джо связал с, и вы можете найти кучу статей в Google.
Это не тот вопрос, который вам следует задавать, Вам следует задать следующий вопрос:
ДОЛЖЕН Я полностью удаляю DNS Windows в пользу BIND9 в сети AD?
По моему личному мнению, ответ ТОЧНО НЕТ если тебе не нравится боль.
AD и Windows DNS взаимосвязаны - вы, конечно, можете отделить их друг от друга, но это будет неприятно и может создать проблемы позже.
Если ваша цель - не раскрывать ваши DNS-серверы Windows (по причинам безопасности, для минимизации нагрузки на сервер и т. Д.), Лучшим вариантом будет сделать ваши DNS-серверы BIND подчиненными, реплицируя зону (зоны) AD DNS.
Это скрывает серверы Windows от посторонних глаз (и чрезмерной нагрузки), но все же позволяет Active Directory взаимодействовать с DNS-серверами Windows, которые он знает и любит.
Вы даже можете минимизировать количество DNS-серверов Windows, если вы пойдете по этому пути, поскольку единственное, что с ним должно общаться, - это Active Directory / DC (создание обновлений) и серверы BIND, которые получают эти обновления для обслуживания других систем).