Использование BIND9 и DHCPD для поддержки домена Windows

Question

Использование BIND9 и DHCPD для поддержки домена Windows

В настоящее время мы используем две системы DNS. Домен Windows использует DNS Windows для внутреннего домена. Наша установка BIND9 обслуживает наш общественный домен DNS. Поскольку мы запускаем BIND в Unix, он получил название "Unix DNS". Все наши системы Unix/Linux имеют FQDN нашего общественного достояния. Все системы Windows, подключенные к домену, имеют полные доменные имена нашей внутренней сети, но также имеют запись BIND для своего hostname.publicdomain.edu, если к ним требуется доступ из Интернета.

Мы стремимся объединить наши DNS-системы, когда мы переместим наш домен на Windows 2008 R2. Цель состоит в том, чтобы использовать BIND, чтобы делать все. Я знаю, что это возможно, но детали от Microsoft немного скудны. Мы хотели бы отказаться от использования DNS или DHCP в Windows или уменьшить его использование. Мы также хотели бы рассмотреть вопрос о переходе в одно доменное пространство, а не просто о том, чтобы наша установка BIND размещалась в отдельной зоне, которую в настоящее время обрабатывает система Windows.

Я провел немало исследований по этому вопросу, и у меня достаточно информации для продвижения в тестовой среде, но я ищу других, которые уже сделали это или что-то подобное.

Плюсы? Минусы? Gotchas?

2

domain-name-system active-directory windows-server-2008 bind dhcp

Источник

J.Zimmerman 27 июн '09 в 07:43

1 ответ

Решение

Другие вопросы по тегам domain-name-system active-directory windows-server-2008 bind dhcp

Evan Anderson 27 июн '09 в 07:59 2009-06-27 07:59 · Accepted Answer · 2009-06-27 07:59

Я не делал этого раньше, но я знаю по совокупности документации от Microsoft и разговоров с Заказчиками, что возможно использовать BIND9 для поддержки AD.

AD требует SRV RR. BIND9 может сделать это без проблем. Если у AD нет возможности разрешать различные записи SRV RR, которые он хочет зарегистрировать, происходит много неприятных вещей. Перерывы репликации, проверка согласованности знаний (которая строит топологии репликации внутри сайта) и разрывы при входе клиентов. Запись "A" для домена, которая по умолчанию разрешает все контроллеры домена в домене, используется DFS на клиентских компьютерах для определения местоположения домена "SYSVOL" и получения ссылки DFS на ближайшую копию файлы, поэтому он должен существовать, иначе групповая политика не сможет работать должным образом.

Динамический DNS является наиболее предпочтительным, потому что контроллеры домена AD хотят зарегистрировать достаточное количество записей (записи SRV, сайты и т. Д.). Динамические DN не требуются, но вам придется вручную обновлять зону, когда добавляются новые контроллеры домена или удаляются старые. BIND 9.5.0 поддерживает GSS-TSIG, который клиенты Microsoft используют для выполнения динамических обновлений. Вам нужно будет интегрировать BIND с Kerberos, предоставленным AD, чтобы заставить это работать, но вы действительно должны, так как это даст вам безопасные динамические обновления.

Как ни странно, я слышал, что люди говорят о "случайной странности" при использовании BIND9 вместо Microsoft DNS. Я никогда не работал непосредственно в одной из этих сетей, но я слышал это от людей, к которым я уважаю их мнение. Я предполагаю, что вполне могут быть небольшие артефакты реализации Microsoft DNS, которые "играют" лучше с AD, чем BIND9. DNS - это DNS, но я сомневаюсь, что Microsoft тестирует AD с помощью BIND9 так же полно, как и на собственном DNS-сервере.

Если у вас будет такая унифицированная DNS-инфраструктура, как вы предлагаете, я настоятельно рекомендую использовать "представления", чтобы ограничить доступ к зоне _msdcs.domain.suffix для сетей, где будут находиться компьютеры, являющиеся членами домена. Нет смысла позволять Интернету видеть какую-либо информацию о компьютерах, сайтах и т. Д. На контроллере домена. В DNS, поддерживающем AD, есть хорошая информация для злоумышленника.

Если я правильно вас понял, похоже, вы захотите изменить существующее DNS-имя домена для домена Active Directory. Изменение этого может быть проблематичным, если оно не предпринято с должной осторожностью. Существуют последствия для Exchange, DFS, служб сертификации и доверительных отношений с другими доменами. Более подробную информацию можно получить в Microsoft по адресу: http://download.microsoft.com/download/9/6/5/965e6899-e086-4b3e-8ed6-516ea07ea225/domain-rename-intro.doc Это очень выполнимо. переименуйте домен, но это должно быть запланированным и скоординированным действием.

Ваш заголовок упоминает ISC DHCPD, но ваш вопрос на самом деле не решает его. Я не помню, какие функциональные возможности динамического обновления DNS присутствуют в ISC DHCPD, но вы всегда можете настроить компьютеры, являющиеся членами домена, для выполнения их собственной регистрации записей DNS A и PTR, вместо того чтобы полагаться на DHCP-сервер. (Я всегда думал, что иметь записи в регистре DHCP A, так как стандартная конфигурация Microsoft работает, довольно глупо.) Нет никаких "специальных" опций, выдаваемых сервером DHCP от Microsoft, которые сервер ISC DHCP не может обработать (никаких проприетарных расширений протокола и т. д.). Я поддерживал клиентские компьютеры-члены домена Windows с различными DHCP-серверами (ISC, встроенными в устройства Cisco, Windows) без каких-либо побочных эффектов.