Posso remover completamente o DNS do Windows em favor do BIND9 em uma rede AD?

Navegue suas respostas
11

Eu gostaria de remover o recurso de DNS dos controladores de domínio do Windows e apontar os servidores DNS para nossos servidores BIND9.

Eu sei que é possível configurar a coexistência, mas isso requer um número extra de servidores DNS do Windows igual ao número de controladores de domínio na rede.

O Active Directory espera a zona _msdcs e outras coisas como _tcp, _udp; etc.

A questão principal é: como fazer o BIND9 cuidar de todos os dados específicos do AD? E com a atualização dinâmica para tornar o AD ainda mais feliz.

Obrigado,

PS: Fazer BIND9 apontar para os Servidores DNS do Windows para resolver as zonas específicas do Active Directory não é uma opção. Nós já fazemos isso ...

EDIT: Como hoje, estou correndo sem o DNS do Windows. Estou escrevendo um guia sobre como fazer isso e atualizarei este tópico.

    
por Vinícius Ferrão 20.05.2013 / 00:23

2 respostas

9

Can I completely remove the Windows DNS in favour of BIND9 in an AD network?

Sim. Como joeqwerty apontou contanto que um servidor DNS atenda aos requisitos do DNS em suporte ao Active Directory, você pode usá-lo como seu AD DNS.
(BIND faz, A Microsoft até fornece orientação que Joe ligou a , e você pode encontrar um monte de artigos no Google.

Essa não é a pergunta que você deveria fazer, , a pergunta que você deve fazer é:

SHOULD I completely remove the Windows DNS in favour of BIND9 in an AD network?

Na minha opinião pessoal a resposta é ABSOLUTAMENTE NÃO a menos que você goste de dor.
O AD e o DNS do Windows estão interligados - Você pode certamente separá-los, mas isso não será agradável e poderá criar problemas mais tarde.

Se o seu objetivo é não expor seus servidores DNS do Windows (por algum motivo de segurança, para minimizar a carga do servidor, etc.), a melhor opção é tornar seus servidores DNS BIND escravos, replicando as zonas DNS do AD. br> Isso esconde os servidores do Windows de olhares indiscretos (e carga excessiva), mas ainda permite que o Active Directory converse com os servidores DNS do Windows que ele conhece e adora.
Você pode até minimizar o número de servidores DNS do Windows se você seguir essa rota, já que as únicas coisas que falaram com ele devem ser o Active Directory / DCs (fazendo atualizações) e os servidores BIND buscando essas atualizações para servir a outros sistemas.

    
por 21.05.2013 / 19:05
9

  1. "Eu gostaria de remover o recurso de DNS dos controladores de domínio do Windows" - isso é incorreto. A função de DC e a função de DNS são duas funções separadas. Eles são frequentemente instalados na mesma máquina, mas isso não é um requisito.

  2. "Eu sei que é possível configurar a coexistência, mas isso requer um número extra de Servidores DNS do Windows igual ao número de controladores de domínio na rede." - Isso é alos incorreto. Você não precisa de um número correspondente de servidores DNS para os controladores de domínio.

  3. Você pode usar um servidor DNS não pertencente à Microsoft, desde que atenda aos requisitos do DNS em suporte ao AD. Se o Bind9 atender a esses requisitos, você é mais do que bem-vindo a usá-lo.

por 20.05.2013 / 00:39

Tags

bloqueia todos, exceto alguns ips com firewalld O que fazer quando alguém logou como root no meu servidor