Eu não fiz isso antes, mas sei de uma combinação de documentação da Microsoft e conversando com os clientes que é possível usar o BIND9 para dar suporte ao AD.
AD requer SRV RR's. O BIND9 pode fazer isso sem problemas. Se o AD não tem a capacidade de resolver os vários SRV RR que deseja registrar, muitas coisas desagradáveis acontecem. Quebras de replicação, o verificador de consistência de conhecimento (que constrói topologias de replicação intra-site) é interrompido e os logons de clientes são interrompidos. O registro "A" do domínio, que é resolvido para todos os controladores de domínio no domínio, por padrão, é usado pelo DFS em computadores cliente para resolver o local do domínio "SYSVOL" e obter uma referência do DFS para a cópia mais próxima do domínio. arquivos, por isso precisa existir ou política de grupo não funcionará corretamente.
O DNS dinâmico é altamente preferido, porque os controladores de domínio do AD desejam registrar um número razoável de registros (SRV RR, sites, etc.). Os DNs dinâmicos não são obrigatórios , mas você precisará atualizar manualmente a região quando novos DCs forem adicionados ou os antigos forem removidos. O BIND 9.5.0 suporta o GSS-TSIG, que os clientes da Microsoft usam para executar atualizações dinâmicas. Você terá que integrar o BIND com o Kerberos fornecido pelo AD para que isso funcione, mas você realmente deve, pois ele fornecerá atualizações dinâmicas seguras.
Curiosamente, ouvi pessoas falarem sobre "estranheza aleatória" com o uso do BIND9 em vez do DNS da Microsoft. Eu nunca trabalhei diretamente em uma dessas redes, mas ouvi isso de pessoas pelas quais tenho respeito por suas opiniões. Eu acho que pode haver pequenos artefatos da implementação de DNS da Microsoft que "jogam" melhor com o AD do que o BIND9. O DNS é o DNS, mas duvido que a Microsoft teste o AD com o BIND9 de maneira tão abrangente quanto o faz com seu próprio servidor DNS.
Se você deseja ter uma infraestrutura de DNS unificada, recomendamos que recomende altamente o uso de "views" para limitar o acesso à zona _msdcs.domain.suffix a redes nas quais os computadores membros do domínio estarão localizados. Não faz sentido deixar a Internet ver qualquer informação sobre seus computadores, sites, etc. do controlador de domínio. Há uma boa informação, para um invasor, no DNS que suporta o AD.
Se eu o ler corretamente, parece que você também pode querer alterar o nome de domínio DNS existente para o domínio do Active Directory. Mudar isso pode ser problemático se não for realizado com o devido cuidado. Existem ramificações para o Exchange, DFS, Serviços de Certificados e relações de confiança com outros domínios. Mais informações detalhadas estão disponíveis na Microsoft em: link É muito viável renomear um domínio, mas ele precisa ser uma atividade planejada e coordenada.
Seu título menciona o ISC DHCPD, mas a sua pergunta não é realmente endereçada. Não me lembro de qual funcionalidade de atualização dinâmica de DNS está presente no ISC DHCPD, mas você sempre pode configurar os computadores membros do domínio para executar seu próprio registro de registro DNS A e PTR em vez de confiar no servidor DHCP para fazê-lo. (Eu sempre achei que ter os registros A do registrador DHCP, como funciona a configuração da Microsoft, é meio bobo.) Não há opções "especiais" fornecidas pelo servidor DHCP da Microsoft que o servidor ISC DHCP não pode manipular ( sem extensões proprietárias para o protocolo, etc). Suportei computadores cliente membros do domínio Windows com uma variedade de servidores DHCP (ISC, incorporado em dispositivos Cisco, Windows) sem efeitos negativos.