Назад | Перейти на главную страницу

Могу ли я полностью удалить Windows DNS в пользу BIND9 в сети AD?

Я хотел бы удалить функцию DNS из контроллеров домена Windows и указать DNS-серверы на наши серверы BIND9.

Я знаю, что можно настроить сосуществование, но для этого требуется количество дополнительных DNS-серверов Windows, равное количеству контроллеров домена в сети.

Active Directory ожидает зону _msdcs и другие вещи, такие как _tcp, _udp; и т.п.

Главный вопрос: как сделать так, чтобы BIND9 заботился обо всех этих данных, специфичных для AD? И с динамическим обновлением, чтобы сделать AD еще более счастливым.

Спасибо,

PS: Создание BIND9 указывает на DNS-серверы Windows для разрешения конкретных зон Active Directory - не вариант. Мы это уже делаем ...

РЕДАКТИРОВАТЬ: Как и сегодня, я работаю без Windows DNS. Я пишу гайд, как это сделать, и обновлю эту тему.

  1. «Я хочу удалить функцию DNS контроллеров домена Windows» - это неверно. Роль DC и роль DNS - это две разные роли. Они очень часто устанавливаются на одном компьютере, но это не является обязательным требованием.

  2. «Я знаю, что можно настроить сосуществование, но для этого требуется количество дополнительных DNS-серверов Windows, равное количеству контроллеров домена в сети». - Это тоже неверно. Вам не требуется соответствующее количество DNS-серверов для контроллеров домена.

  3. Вы можете использовать DNS-сервер, отличный от Microsoft, если он соответствует требованиям DNS для поддержки AD. Если Bind9 соответствует этим требованиям, вы можете использовать его.

Могу ли я полностью удалить Windows DNS в пользу BIND9 в сети AD?

Да. Как отметил Joeqwerty если DNS-сервер соответствует требованиям DNS для поддержки Active Directory, вы можете использовать его в качестве AD DNS.
(BIND делает, Microsoft даже предоставляет руководство, которое Джо связал с, и вы можете найти кучу статей в Google.

Это не тот вопрос, который вам следует задавать, Вам следует задать следующий вопрос:

ДОЛЖЕН Я полностью удаляю DNS Windows в пользу BIND9 в сети AD?

По моему личному мнению, ответ ТОЧНО НЕТ если тебе не нравится боль.
AD и Windows DNS взаимосвязаны - вы, конечно, можете отделить их друг от друга, но это будет неприятно и может создать проблемы позже.

Если ваша цель - не раскрывать ваши DNS-серверы Windows (по причинам безопасности, для минимизации нагрузки на сервер и т. Д.), Лучшим вариантом будет сделать ваши DNS-серверы BIND подчиненными, реплицируя зону (зоны) AD DNS.
Это скрывает серверы Windows от посторонних глаз (и чрезмерной нагрузки), но все же позволяет Active Directory взаимодействовать с DNS-серверами Windows, которые он знает и любит.
Вы даже можете минимизировать количество DNS-серверов Windows, если вы пойдете по этому пути, поскольку единственное, что с ним должно общаться, - это Active Directory / DC (создание обновлений) и серверы BIND, которые получают эти обновления для обслуживания других систем).