Como posso usar um servidor DNS Linux BIND para minha floresta do Active Directory?

Navegue suas respostas
5

Estou tentando configurar uma floresta do Active Directory que usa um servidor Linux BIND para DNS. O objetivo é que o Controlador de Domínio (DC) seja capaz de fazer entradas no arquivo /etc/bind/db.foresta.net do servidor linux.

Aqui está um diagrama com minhas configurações e especificações atuais:

WinServerDC:dc.ntds.foresta.netDNSdoLinux:sysdns.foresta.net

MinhaconfiguraçãoatualdoservidorLinux: link

No controlador de domínio, configurei uma nova floresta do AD e, nas configurações de IP, defini o IP do servidor Linux como DNS. Mas agora o problema é que não vejo nenhuma nova entrada no arquivo que descrevi acima (db.foresta.net) e não sei quais passos adicionais eu preciso dar para que isso funcione.

O que funciona até agora: No Windows Server, posso abrir um navegador e navegar em qualquer site usando esse servidor linux dns.

Todo feedback é apreciado.

    
por tr3quart1sta 15.12.2013 / 11:14

2 respostas

2

A maneira como leio sua pergunta é que você está tentando evitar o DNS do host do controlador de domínio do AD. E essa é uma configuração perfeitamente válida.

Você basicamente tem duas opções.

  1. Configure o BIND para permitir que os DCs realizem atualizações dinâmicas
  2. Preencha manualmente as entradas de DNS dos DCs no BIND depois que um DC é promovido

A opção 1 é a mais comum. E as maneiras pelas quais você pode configurar o BIND para esse intervalo, desde simples listas de permissões de IP até configurações mais complexas de TSIG . Mas uma vez feito, você é de ouro. Há muitos guias sobre como configurar o BIND para DDNS. Se você precisar de ajuda específica sobre isso, convém criar uma pergunta separada.

A opção 2 é "mais fácil" no lado da configuração do BIND, mas um pouco mais de trabalho ao promover um controlador de domínio. Existe um arquivo que é criado no DC após a promoção que contém todas as entradas do BIND que você precisa adicionar para esse DC. %SYSTEMROOT%\system32\config\netlogon.dns Tudo o que você realmente precisa fazer é adicionar manualmente essas entradas ao seu servidor BIND. No entanto, você também precisará atualizar essas entradas sempre que fizer alterações na função de topologia do AD ou FSMO (adicionar / remover um site, adicionar / remover um domínio, etc.).

    
por 14.05.2015 / 07:01
1

As duas principais estratégias com as quais lidei são delegação e encaminhamento.

Com a delegação, você configura o BIND como um escravo para o servidor do AD, transferindo a carga da consulta para o servidor BIND. Enquanto o AD ainda for o SOA (ala ADI), todas as atualizações dinâmicas ainda serão enviadas para a caixa do AD. Você ainda pode configurar outras zonas no servidor BIND, no entanto, é possível executar alguns problemas com várias exibições que classifiquei no passado, adicionando encaminhadores condicionais às caixas AD.

Com o encaminhamento, você configura seu servidor BIND para encaminhar solicitações para as caixas AD, permitindo que você aponte seus clientes nas caixas BIND para que eles possam fazer a busca e o armazenamento em cache de solicitações não-AD, mas isso faz muito pouco para descarregar qualquer carga do cliente das caixas do AD.

Depende de quais são seus objetivos e recursos e o que é melhor para o seu ambiente. O que é muito importante é manter uma única fonte de verdade para a zona. Isso é mais difícil ao executar o BIND na frente de zonas ADI devido a como as várias caixas AD mantêm seus registros SOA e números de série, mas se você estiver executando apenas um ADC, isso não é nem uma preocupação.

    
por 14.05.2015 / 04:30

Tags

Criptografia da Área de Trabalho Remota Tempo limite de conexão HTTP (aleatório?) com o Windows 7