Quando usar o DNS interno vs BIND para o backend do Samba 4

3

Estou usando o Samba 4 como um AD DC com o NetBIOS desabilitado, como eu tenho no Windows.

A documentação do Samba diz:

Bind as DNS backend is recommended, if you plan setup a complexer DNS setup, than the Samba 4 internal DNS currently made possible.

Qual é exatamente o limite para "uma configuração complexa de DNS"?

Eu pretendo usar isso em um servidor CentOS 6.4 da rede de pequenas empresas para acesso à Internet e permitir que o servidor principal seja acessado via HTTP por alguns nomes e endereços IP diferentes. Atualmente, temos um servidor Windows configurado para fazer essa tarefa e está migrando.

Isso conta como complexo o suficiente para exigir o DNS interno do Samba, ou seria melhor instalar o BIND?

    
por Kev 13.08.2013 / 01:05

3 respostas

2

Se você for servir DNS (nomes de host, incluindo seu nome de domínio visível na Internet) e quiser mover isso para longe do servidor Windows, você terá que usará bind.

O SAMBA 3 e versões anteriores fornecem apenas resolução de nomes sobre o NetBIOS (que é somente sub-rede local e geralmente são usados apenas por clientes Windows) e não exibirão esses nomes para a Internet em geral, pois isso só pode ser feito por ligação ( ou qualquer outro programa servidor de nomes).

EDIT Como Kev apontou, parece que o Samba 4 quando o "Diretório Samba" está habilitado (uma tentativa de substituir o diretório ativo do Windows), um servidor DNS rudimentar está habilitado para lidar com solicitações para o "Diretório Samba". Eu ainda suspeitaria que, se seus clientes fazem uso pesado de diferentes domínios na internet, você provavelmente ainda está melhor com o BIND (com encaminhamentos para o domínio do AD e armazenamento em cache para o resto da Internet).

Isso não responde bem à questão do "limiar", mas certamente é algo que a equipe do Samba poderia esclarecer?

    
por 13.08.2013 / 01:10
2

Ao olhar para os recursos que oferece, parece ser bastante básico. Pode realizar pesquisas em um único domínio. Com bind , você pode ter como instância única a manutenção de vários domínios, além de ter configurações muito mais complexas.

A implementação do Samba 4 dá a você a habilidade de encadear um servidor adicional ao pacote para que você possa ter algumas das soluções feitas pelo Samba 4 e para qualquer coisa que ele não possa resolver ele pode encaminhar essas requisições para outro servidor, ainda limitado ao nome de um domínio.

Você pode fazer isso adicionando essas linhas ao seu /etc/samba/smb.conf :

dns recursive queries = yes 
dns forwarders = 192.168.1.5

Com base na sua descrição, não é suficiente dizer conclusivamente se você pode / não pode usar apenas o servidor DNS do Samba 4, acho que o principal ponto de ruptura terá a ver com o modo como você está usando nomes de domínio em seus servidores como qualquer virtualhost você pode configurar dentro do serviço HTTP.

Por exemplo, eu tenho uma configuração bastante complexa onde eu hospedo vários nomes de domínio em uma única instância do Apache. Em seguida, uso formulários desses nomes para acessar servidores de backend, como bancos de dados, usando formulários dos domínios usados para acessar o servidor HTTP.

Então, se alguém viesse acessar www.somedom.com, eles receberiam o conteúdo deles e o servidor HTTP acessaria o servidor de banco de dados usando o nome db.somedom.com.

Para conseguir isso, eu configuro vários domínios dentro da minha instância de vinculação de DNS para facilitar isso.

    
por 13.08.2013 / 01:44
2

Estas são as limitações do wiki do Samba no back-end interno :

The internal DNS does not support:

  • acting as a caching resolver
  • recursive queries
  • shared-key transaction signature (TSIG)
  • stub zones
  • zone transfers
  • wildcard DNS entries

Uma "configuração simples de DNS", que lê como back-end interno do Samba , consiste no seguinte:

  • 1 domínio, 1 controlador de domínio (DC)
  • Todas as estações de trabalho estão associadas ao domínio
  • O DC pode acessar os servidores DNS da Internet
  • Atualizações de DNS protegidas por Kerberos são suportadas (Windows ' ipconfig /registerdns ) ou similar
  • Não há relações de confiança ou outros domínios na floresta do Active Directory (AD)
  • Apenas tipos básicos de registros DNS são permitidos ( A , AAAA , CNAME , MX , NS , SRV , TXT ).

Tudo o resto é "configuração mais complexa do DNS".

    
por 19.04.2018 / 13:38