Active Directory com DNS unix público (sem MS DNS)

5

Estou configurando uma nova instância do Active Directory para meu departamento em uma universidade. Eu tenho alguma experiência em gerenciamento de domínios em trabalhos anteriores (NT4 / 2k / 2003), mas há duas coisas exclusivas sobre nosso ambiente aqui: A rede é 100% de espaço de endereço IP público (efetivamente sem firewalls e todos DNS é DNS público) e DNS é gerenciado centralmente (BIND no UNIX e eles não me delegam um subdomínio, nem permitem atualizações dinâmicas de DNS em seus servidores.)

Como nenhum DNS privado ou dividido é possível, os registros SRV do meu domínio (ad.dept.univ.edu) estarão acessíveis via DNS público. Embora o DNS seja público, o firewall só permitirá que máquinas no campus se conectem a meus controladores de domínio. Eu terei dois controladores AD executando o Windows Server 2008r2. Este é basicamente um domínio somente de autenticação, não executamos servidores de arquivos do Windows, a maioria das máquinas cliente nunca ingressará no domínio ou autenticará diretamente no controlador de domínio. Na maioria dos casos, esse domínio fornecerá autenticação centralizada integrada ao AD para appliances e aplicativos.

  • Qual é o processo para configurar um controlador AD sem habilitar o MS DNS?
  • Quais registros DNS (SRV ou de outra forma) devo adicionar? Eles devem existir antes de tornar o servidor um controlador de domínio ou ser adicionado depois?
  • Existe alguma coisa que não funcione bem em tal ambiente? Eu sei que adicionar / remover CDs requer a edição manual do DNS, mas é isso?

Se você acha que o Samba4 + OpenLDAP está à altura da tarefa, estou definitivamente interessado, mas, por favor, pergunte ao & auto responder uma nova questão wiki em vez de apenas responder aqui.

    
por notpeter 31.08.2010 / 20:38

5 respostas

1

User56886 teve a maior parte do que me iniciou no caminho certo, mas aqui está a lista completa de Registros DNS (observe os sublinhados principais) que funcionaram para meu domínio (dept.univ.edu) e meu controlador de diretório ativo .dept.univ.edu). TTL / pesos / prioridade são com você, eu usei 600, 0, 100 abaixo.

_service._proto.name TTL class SRV priority weight port target

_gc._tcp.dept.univ.edu. 600 IN SRV 0 100 3268 ad.dept.univ.edu.
_gc._tcp.Default-First-Site-Name._sites.dept.univ.edu. 600 IN SRV 0 100 3268 ad.dept.univ.edu.
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.dept.univ.edu. 600 IN SRV 0 100 88 ad.dept.univ.edu.
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.dept.univ.edu. 600 IN SRV 0 100 88 ad.dept.univ.edu.
_kerberos._tcp.dc._msdcs.dept.univ.edu. 600 IN SRV 0 100 88 ad.dept.univ.edu.
_kerberos._tcp.dept.univ.edu. 600 IN SRV 0 100 88 ad.dept.univ.edu.
_kerberos._udp.dept.univ.edu. 600 IN SRV 0 100 88 ad.dept.univ.edu.
_kpasswd._tcp.dept.univ.edu. 600 IN SRV 0 100 464 ad.dept.univ.edu.
_kpasswd._udp.dept.univ.edu. 600 IN SRV 0 100 464 ad.dept.univ.edu.
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.dept.univ.edu. 600 IN SRV 0 100 389 ad.dept.univ.edu.
_ldap._tcp.Default-First-Site-Name._sites.dc.dept.univ.edu. 600 IN SRV 0 100 389 ad.dept.univ.edu.
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.dept.univ.edu. 600 IN SRV 0 100 3268 ad.dept.univ.edu.
_ldap._tcp.dc._msdcs.dept.univ.edu. 600 IN SRV 0 100 389 ad.dept.univ.edu.
_ldap._tcp.dept.univ.edu. 600 IN SRV 0 100 389 ad.dept.univ.edu.
_ldap._tcp.gc._msdcs.dept.univ.edu. 600 IN SRV 0 100 389 ad.dept.univ.edu.
_ldap._tcp.pdc._msdcs.dept.univ.edu. 600 IN SRV 0 100 389 ad.dept.univ.edu.

Além disso, há também dois registros (um registro SRV e um CNAME) que dependem de um SECID gerado para seu domínio:

xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx._msdcs.dept.univ.edu CNAME ad.dept.univ.edu.
_ldap._tcp.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx._msdcs.dept.univ.edu. 600 IN SRV 0 100 389 ad.dept.univ.edu.

Além disso, você (obviamente) precisa de um registro A para o seu controlador de domínio.

Referência: página 154 de 5ª edição do Active Directory de Oreilly (também disponível via Safari Books Online ).

    
por 13.11.2012 / 19:27
12

Parece muito com meu ambiente, só consigo ter delegação de DNS.

É possível embora muito complicado para configurar um ambiente DNS do AD que não exija DNS dinâmico. Você terá que preencher todos os registros SRV, bem como os registros NS e A necessários para o domínio. Os registros de PTR não são tão importantes. Como você não adicionará ou removerá máquinas do domínio, isso pode até ser suportável a longo prazo.

Não se preocupe com o espaço de endereço IP público. É para isso que os firewalls são. Só porque os malvados malvados podem olhar para você não significa que eles possam tocar em você.

    
por 31.08.2010 / 20:47
7

Eu fiz isso e gerenciei via webmin no meu servidor DNS. * Adicionando registros DNS via webmin é muito muito fácil. Muito melhor do que fazê-lo manualmente através de arquivos de configuração.

Registros de serviço necessários:

Nome do servidor de porta de peso de prioridade TTL
 gc.tcp.domain 600 0 100 3268 server-name.domain.
 kerberos.tcp.dc._msdcs.domain. 600 0 100 88 server-name.domain.
 kerberos.tcp.domain. 600 0 100 88 server-name.domain.
 kerberos.udp.domain. 600 0 100 88 server-name.domain.
 kpasswd.tcp.domain. 600 0 100 464 server-name.domain.
 kpasswd.udp.domain. 600 0 100 464 server-name.domain.
 ldap.tcp.dc._msdcs.domain. 600 0 100 389 server-name.domain.
 ldap.tcp.gc. msdcs.domain. 600 0 100 3268 server-name.domain.
 ldap.tcp.pdc
.msdcs.domain. 600 0 100 389 server-name.domain.
 ldap.tcp.domain. 600 0 100 389 server-name.domain.
 ldap.tcp.domain. 600 0 100 3268 server-name.domain.
 msdcs.tcp.domain. 600 0 100 389 server-name.domain.
Selecionar tudo. | Inverta a seleção.

Além de seus registros de serviço, você precisa do (s) registro (s) apropriado (s):

gc._msdcs.domain. 600 ENDEREÇO IP

NÃO SE ESQUEÇA DE REGISTRAR SEU DNS no seu Servidor AD através da linha cmd: ipconfig / registerdns

Se ainda assim não funcionar, no Visualizador de Eventos do servidor do AD, haverá mensagens claras indicando o que os Registros DNS estão tentando atingir.

    
por 12.10.2010 / 18:00
0

Eu instalaria servidores DNS nas máquinas que você usaria como controladores de domínio e permitiria que os controladores de domínio preenchessem automaticamente os registros srv, para que você tivesse uma cópia que pudesse fornecer aos administradores de ligação. depois disso, parece que os dados da zona podem estar bastante estáticos e você deve ser capaz de derrubar os servidores dns do Windows.

A maneira como você enuncia a sua pergunta faz parecer que pode haver outras florestas baseadas no Active Directory no campus. Como eles estão resolvendo seus problemas de DNS? alguma chance de ingressar em um domínio / floresta existente?

    
por 31.08.2010 / 21:35
-3

isso é possível, embora o fato de toda a sua infraestrutura estar exposta aos internets públicos seja mais do que um pouco assustador.

Se eu estivesse nessa situação, replicaria minhas zonas necessárias da ADI para caixas BIND gerenciadas localmente (ou seja, minhas) e, em seguida, configuraria as visualizações para permitir somente o acesso às zonas ADI escravizadas do seu espaço IP "conhecido". Fracassando a disposição do negócio de colocar o investimento muito moderado para um par de servidores BIND adicionais, eu documentaria o inferno fora de minhas tentativas para convencer o gerenciamento de quão ruim é expor sua infra-estrutura de AD para a internet e preparar meu currículo. Porque isso vai cair em uma explosão grande e ardente ...

    
por 02.09.2010 / 17:48