it-swarm-pt.tech

Como posso fazer com que o BIND e o Microsoft DNS funcionem bem juntos?

Eu gostaria de tentar mover o máximo da configuração DNS de nossa empresa para o BIND, porque acho mais fácil trabalhar com ele, mas ter o Active Directory significa que temos que ter pelo menos a zona do domínio no DNS da Microsoft.

Talvez eu pudesse ter a zona do domínio (por exemplo, empresa.local) no MSDNS, mas ter outra zona no BIND (por exemplo, empresa.org) que tem zonas de avanço e reverso para os mesmos computadores. O servidor DHCP pode atribuir o BIND como DNS primário e secundário, e apenas usamos essa zona para o uso diário. Também poderíamos criar zonas escravas para a zona de domínio em BIND, apenas moveríamos todas as operações DNS explícitas para BIND, mas manteríamos a zona de domínio disponível por meio de BIND para que AD possa funcionar.

Alguém fez isso e conseguiu? Ou é uma ideia extremamente ruim? :)

7
Cawflands

Nós fazemos isso. Não tenho certeza se recomendaria, mas fazemos:

Servidor Solaris executando BIND

  • executa autoritativo para cada domínio de encaminhamento, exceto example.ad
  • executa com autoridade para cada zona in-addr.arpa, exceto aquelas servidas por AD DHCP
  • puxa o escravo por exemplo.ad e intervalos DHCP de servidores DNS AD

servidor linux executando BIND

  • puxa o escravo por exemplo.ad e intervalos DHCP de servidores DNS AD
  • puxa o escravo para todo o resto do solaris primário.

Servidores AD DNS

  • executa master por exemplo.ad
  • executa master para qualquer zona in-addr.arpa servida por AD DHCP.
  • encaminha todas as solicitações recursivas para as instalações BIND do solaris/linux

Clientes Windows

  • Atribuído os servidores AD DNS por AD DHCP. Experimentamos isso e descobrimos que "a família de produtos Microsoft" que usávamos não gostava de não ter o servidor AD DNS. Podemos ter desistido muito cedo, mas não foi bem pelo que me lembro.

Clientes UNIX/Linux/operacionais:

  • servidores BIND DNS codificados

Na prática, aqui estão algumas políticas que aprovamos:

  • qualquer registro que se refira a serviços de classe de TI (troca, etc) obtém um registro A em example.ad e obtém um CNAME para record.example.ad em example.com
  • qualquer registro que se refira a equipamento operacional ou de rede obtém um registro A em example.com e um CNAME em example.ad.

Nossa configuração é na verdade um pouco mais complexa do que isso porque compramos uma empresa que usa Netware/AD para DNS/DHCP, então temos um conjunto semelhante de regras para eles.

Não tenho certeza se recomendaria fazer isso se sua mão não for forçada. Nossa instalação é uma tentativa de tirar o melhor proveito de um conjunto ruim de circunstâncias. No entanto, tenho que admitir que gosto de usar BIND muito mais do que AD DNS, então, já que não vamos nos livrar do AD, é uma boa maneira de ter alguns o uso de LIGAR.

Um problema que tivemos é o cache no servidor DNS AD. Tentamos educar nossos clientes operacionais de que seus laptops usam AD DNS, mas as alterações são feitas no BIND, portanto, se eles fizerem uma alteração e quiserem verificá-la, terão que procurar manualmente nos servidores corretos. Isso é um aborrecimento, mas é um problema que surge com uma frequência surpreendente.

Espero que ajude.

6
jj33

Já fiz isso antes e tentarei reconstruir de memória o que fiz.

A situação:

Controlador de domínio Win2K, vários desktops Windows, ambiente AD. O servidor DNS precisaria ser reiniciado a cada poucos dias porque, bem, ele simplesmente pararia de funcionar.

A solução:

Eu tinha uma caixa Linux na rede executando um pequeno site de intranet, então coloquei o BIND nessa caixa. Eu configurei o BIND como um escravo na zona e configurei a caixa Win2K para enviar transferências de domínio para ele. Em seguida, configurei o servidor DHCP na caixa Win2K para fornecer a caixa BIND como o servidor DNS primário e a caixa Win2K como o servidor DNS secundário. Agora, todas as atualizações da tabela DNS na caixa Win2K (incluindo caixas de clientes, pois eram todas DHCP) seriam publicadas no servidor BIND e tudo funcionou muito bem. Nunca tive que reiniciar o servidor DNS Win2K novamente.

3
Harper Shelby

Fizemos exatamente isso em nossa antiga empresa:

company.com era o domínio oficial que mantínhamos no BIND

company.net era o nome de domínio do AD - o AD poderia fazer tudo o que quisesse naquela zona e não nos importaria

Isso manteve as coisas bem separadas para nós e funcionou muito bem.

1
MikeyB

A combinação de Bind e MSDNS está bem documentada, uma pesquisa rápida apareceu http://support.Microsoft.com/kb/25591 , mas provavelmente há mais por aí.

Você tem que decidir o que deseja ter. Empresa anterior, configurei o bind para tudo, exceto _ {msdcs, sites, tcp, udp} e um subdomínio onde os desktops residiam para que pudessem fazer atualizações dinâmicas seguras. Simplesmente funciona. (DHCP estava em Unix.)

Misturar os dois traz algum trabalho extra para manter as coisas limpas e atualizadas, mas não é o fim do mundo

1
Toto