Como posso fazer com que o BIND e o Microsoft DNS funcionem bem?

Nós fazemos isso. Não tenho certeza se recomendaria, mas fazemos isso:

Servidor Solaris executando o BIND

• é executado como autoritativo para todos os domínios avançados, exceto example.ad
• executa autoritativo para cada zona in-addr.arpa, exceto aquelas atendidas pelo AD DHCP
• extrai escravo por exemplo.grades DHCP e AD de servidores DNS do AD

servidor linux executando o BIND

• extrai escravo por exemplo.grades DHCP e AD de servidores DNS do AD
• puxa escravo para todo o resto do solaris primário.

Servidores DNS AD

• executa o mestre por exemplo.ad
• é executado como mestre para qualquer zona in-addr.arpa atendida pelo AD DHCP.
• encaminha todas as solicitações recursivas para as instalações do Solaris / linux BIND

Clientes do Windows

• Atribuído os servidores DNS do AD pelo AD DHCP. Experimentamos isso e descobrimos que "a família de produtos da Microsoft" que usamos não gostava de não ter o servidor DNS do AD. Podemos ter desistido cedo, mas não foi bem do que eu me lembro.

Clientes operacionais UNIX / Linux:

• servidores DNS BIND com codificação fixa

Na prática, aqui estão algumas políticas que promulgamos:

• qualquer registro que se refira a serviços de classe de TI (troca, etc) obtém um registro A em example.ad e obtém um CNAME para registrar.exemplo.ad em example.com
• qualquer registro que se refira a equipamento operacional ou de rede obtém um registro A em example.com e um CNAME em example.ad.

Nossa configuração é na verdade até um pouco mais complexa do que isso, porque compramos uma empresa que usa Netware / AD para DNS / DHCP, de modo que temos um conjunto semelhante de regras para eles.

Não tenho certeza se recomendaria fazer isso se sua mão não for forçada. Nossa instalação é uma tentativa de tirar o melhor proveito de um conjunto de circunstâncias ruins. No entanto, eu tenho que admitir que eu gosto de usar o BIND muito mais do que o AD DNS, então, já que claramente não vamos nos livrar do AD, é uma boa maneira de ter algum uso de BIND.

Um problema que tivemos foi o armazenamento em cache no servidor DNS do AD. Tentamos instruir nossos clientes operacionais de que seus laptops usam o DNS do AD, mas as alterações são feitas no BIND. Portanto, se fizerem uma alteração e quiserem verificá-la, precisarão procurá-la manualmente nos servidores corretos. Isso é um aborrecimento, mas é um problema que surge com uma frequência surpreendente.

Espero que ajude.

Já fiz isso antes e tentarei reconstruir da memória o que fiz.

A situação:

Controlador de domínio Win2K, vários desktops Windows, ambiente AD. O servidor DNS precisaria ser reiniciado a cada poucos dias porque, bem, ele simplesmente pararia de funcionar.

A solução:

Eu tinha uma caixa Linux na rede executando um pequeno site de intranet, então deixei cair o BIND nessa caixa. Eu configurei o BIND como um escravo na zona e configurei a caixa Win2K para enviar transferências de domínio para ele. Em seguida, configurei o servidor DHCP na caixa Win2K para fornecer a caixa BIND como o servidor DNS primário e a caixa Win2K como o servidor DNS secundário. Agora todas as atualizações para a tabela DNS na caixa Win2K (incluindo as caixas do cliente, como todas elas eram DHCP) seriam publicadas no servidor BIND, e tudo funcionou muito bem. Nunca tive que reiniciar o servidor DNS Win2K novamente.

O principal problema são as atualizações de DNS dinâmicas do Active Directory feitas para os registros A dos controladores de domínio, registros PTR e o próprio registro domain.com ... além disso, as zonas sublinhadas _msdcs.domain.com, _sites. domain.com, _tcp.domain.com, _udp.domain.com.

Se a sua versão do BIND puder suportar essas atualizações dinâmicas, você poderá usar o BIND.

Se não, então você deve usar o MS-DNS para as zonas sublinhadas, no entanto você pode codificar manualmente o registro A, PTR e domain.com e mantê-lo se / quando você adicionar / remover DC's. Torne o MS-DNS a autoridade para as zonas sublinhadas e transfira / encaminhe-as para o BIND para que os clientes possam encontrá-las.

Ou use um domínio diferente inteiramente para o AD (se puder) como o corp.domain.com, hospede-o inteiramente no MS-DNS e transfira / encaminhe para o BIND.

As máquinas cliente do Windows também vão querer criar dinamicamente os registros A / PTR, então o próprio BIND deve fazer isso por eles ou permitir que eles façam isso, ou novamente usar o MS-DNS para toda a zona.

Fizemos exatamente isso em nossa antiga empresa:

company.com foi o domínio oficial que mantivemos no BIND

company.net era o nome de domínio do AD - AD podia fazer tudo o que desejava nessa zona e não nos importávamos

Isso manteve as coisas bem separadas para nós e funcionou muito bem.

O Mixing Bind e o MSDNS estão bem documentados, uma pesquisa rápida mostrou o link , mas provavelmente há mais por aí.

Você tem que decidir o que você gosta de ter .. Empresa anterior, eu configurei a ligação para tudo, exceto _ {msdcs, sites, tcp, udp} e um subdomínio onde os desktops eram armazenados para que pudessem fazer atualizações dinâmicas seguras. Apenas funciona. (DHCP estava no Unix.)

Misturar os dois traz algum trabalho extra para manter as coisas limpas e atualizadas, mas não é o fim do mundo