Question Puis-je supprimer complètement le DNS Windows en faveur de BIND9 dans un réseau AD?


Je souhaite supprimer la fonctionnalité DNS des contrôleurs de domaine Windows et pointer les serveurs DNS vers nos serveurs BIND9.

Je sais qu'il est possible de configurer la coexistence, mais cela nécessite un nombre supplémentaire de serveurs DNS Windows, égal au nombre de contrôleurs de domaine du réseau.

Active Directory attend la zone _msdcs et d'autres éléments tels que _tcp, _udp; etc.

La question principale est: comment faire que BIND9 prenne en charge toutes ces données spécifiques à AD? Et avec la mise à jour dynamique pour rendre AD encore plus heureux.

Merci,

PS: Il n'est pas possible de créer des points BIND9 sur les serveurs DNS Windows pour résoudre les zones spécifiques à Active Directory. Nous faisons déjà cela ...

EDIT: Comme aujourd'hui, je cours sans Windows DNS. J'écris un guide sur la façon de procéder, et je mettrai à jour ce sujet.


11
2018-05-19 22:23


origine


De Ron Aitchison, auteur de Pro DNS et BIND, "... il faudrait être haut pour exécuter un domaine AD sur BIND". Je le citerai avec un numéro de page lorsque je rentrerai du travail. - Bigbio2002


Réponses:


Puis-je supprimer complètement le DNS Windows en faveur de BIND9 dans un réseau AD?

Oui. Comme l'a souligné joeqwerty tant qu'un serveur DNS répond aux exigences du serveur DNS en support d'Active Directory, vous pouvez l'utiliser comme votre serveur DNS AD.
(BIND fait, Microsoft fournit même des conseils auxquels Joe est lié, et vous pouvez trouver un tas d’articles sur Google.

Ce n'est pas la question que vous devriez vous poser si, La question que vous devriez poser est la suivante:

DEVRAIT Je supprimer complètement le DNS Windows en faveur de BIND9 dans un réseau AD?

Dans mon opinion personnelle, la réponse est ABSOLUMENT PAS sauf si vous aimez la douleur.
AD et Windows DNS sont étroitement liés. Vous pouvez certainement les séparer, mais cela ne sera pas agréable et risque de créer des problèmes plus tard.

Si votre objectif est de ne pas exposer vos serveurs DNS Windows (pour des raisons de sécurité, de minimiser la charge du serveur, etc.), une meilleure option consiste à rendre vos serveurs BIND DNS esclaves, en répliquant la ou les zones AD DNS.
Cela masque les serveurs Windows des regards indiscrets (et de la charge excessive), mais laisse tout de même Active Directory parler aux serveurs DNS Windows qu'il connaît et aime.
Vous pouvez même réduire le nombre de serveurs DNS Windows si vous suivez cette route, car seuls les contacts Active Directory / DC (mises à jour) et les serveurs BIND récupérant ces mises à jour pour les servir à d'autres systèmes).


9
2018-05-21 17:05





  1. "Je souhaite supprimer la fonctionnalité DNS des contrôleurs de domaine Windows" - Ceci est incorrect. Le rôle de contrôleur de domaine et le rôle DNS sont deux rôles distincts. Ils sont très souvent installés sur la même machine mais ce n'est pas une obligation.

  2. "Je sais qu'il est possible de configurer la coexistence, mais cela nécessite un nombre supplémentaire de serveurs DNS Windows, égal au nombre de contrôleurs de domaine du réseau." - Ceci est également incorrect. Vous n'avez pas besoin d'un nombre correspondant de serveurs DNS pour les contrôleurs de domaine.

  3. Vous pouvez utiliser un serveur DNS autre que Microsoft, à condition qu'il réponde aux exigences du système DNS en ce qui concerne AD. Si Bind9 répond à ces exigences, vous êtes le bienvenu.


9
2018-05-19 22:39



La documentation de Microsoft indique que l’utilisation d’un serveur DNS par contrôleur de domaine est une bonne pratique. Mais je peux comprendre que mes locaux sont faux. Aucun problème avec cela, mais la vraie solution pour le problème n'a pas été présentée. Je fais quelques tests moi-même en ce moment, en essayant de résoudre ce problème. - Vinícius Ferrão
Vous n'avez pas réellement énoncé de problème dans votre question. Vous avez demandé si BIND9 peut être utilisé en tant que serveur DNS pour AD et j'ai répondu qu'il le pouvait si cela répond aux exigences de prise en charge de AD. Cet article implique qu'il: technet.microsoft.com/en-us/library/dd316373.aspx - joeqwerty
Hm, je pensais que la question principale était claire: "Comment faire pour que BIND9 prenne en charge toutes ces données spécifiques à AD? Et avec une mise à jour dynamique pour rendre AD encore plus heureux." Désolé si je suis incapable de m'exprimer ... J'ai progressé, mais je ne parviens pas à mettre à jour le serveur DNS avec le nom d'une machine jointe du domaine. une idée Joe? J'ai eu cette erreur sur BIND9: "13 mai 16:20:34 debian nommée [5994]: client 172.16.144.107 # 60932: mise à jour" domain.com/IN "refusée" Mais donner la permission à toutes les adresses IP n'était pas viable. option. - Vinícius Ferrão
Existe-t-il un paramètre dans BIND DNS pour autoriser les mises à jour non sécurisées? Si c'est le cas, c'est probablement ce que vous devez activer. - joeqwerty
@ ViníciusFerrão Vous devez configurer correctement BIND pour prendre en charge les mises à jour dynamiques à partir de votre serveur AD. Reportez-vous à la documentation de BIND. Honnêtement, je ne le recommanderais pas. Si vous avez un réseau Microsoft / AD, vous devez utiliser le serveur DNS Microsoft et les zones intégrées AD (en rendant éventuellement vos serveurs BIND esclaves de la zone AD). Vous ne faites que créer des problèmes pour vous-même en essayant de concocter cela. - voretaq7