Puis-je supprimer complètement le DNS Windows au profit de BIND9 dans un réseau AD?

11

Je voudrais supprimer la fonction DNS des contrôleurs de domaine Windows et pointer les serveurs DNS vers nos serveurs BIND9.

Je sais qu'il est possible de configurer la coexistence mais cela nécessite un nombre de serveurs DNS Windows supplémentaires égal au nombre de contrôleurs de domaine dans le réseau.

Active Directory attend la zone _msdcs et d'autres choses comme _tcp, _udp; etc.

La question principale est: comment faire BIND9 s'occupe de toutes ces données AD spécifiques? Et avec une mise à jour dynamique pour rendre AD encore plus heureux.

Merci,

PS: La création de points BIND9 vers les serveurs DNS Windows pour résoudre les zones spécifiques à Active Directory n'est pas une option. Nous le faisons déjà ...

EDIT: Comme aujourd'hui, je cours sans DNS Windows. J'écris un guide sur la façon de procéder et je mettrai à jour ce sujet.

linux windows domain-name-system active-directory bind Vinícius Ferrão
la source
2
De Ron Aitchison, auteur de Pro DNS et BIND, "... il faudrait être élevé pour exécuter un domaine AD sur BIND". Je citerai cela avec un numéro de page lorsque je rentrerai du travail.
Bigbio2002

Réponses:

9

Puis-je supprimer complètement le DNS Windows au profit de BIND9 dans un réseau AD?

Oui. Comme l'a souligné joeqwerty tant qu'un serveur DNS répond aux exigences du DNS pour prendre en charge Active Directory, vous pouvez l'utiliser comme DNS AD.
(BIND le fait, Microsoft fournit même des conseils auxquels Joe a lié , et vous pouvez trouver un tas d'articles sur Google.

Ce n'est pas la question que vous devriez poser cependant , la question que vous devriez poser est:

DEVRAIS- JE supprimer complètement le DNS Windows au profit de BIND9 dans un réseau AD?

À mon avis, la réponse est ABSOLUMENT PAS, sauf si vous aimez la douleur.
AD et Windows DNS sont entrelacés - Vous pouvez certainement les séparer, mais cela ne sera pas agréable et pourrait créer des problèmes plus tard.

Si votre objectif est de ne pas exposer vos serveurs DNS Windows (pour une raison de sécurité, afin de minimiser la charge du serveur, etc.), une meilleure option est de faire de vos serveurs DNS BIND des esclaves, en répliquant la ou les zones AD DNS.
Cela cache les serveurs Windows des regards indiscrets (et de la charge excessive), mais permet toujours à Active Directory de parler aux serveurs DNS Windows qu'il connaît et aime.
Vous pouvez même minimiser le nombre de serveurs DNS Windows si vous suivez cette voie, car les seuls éléments qui lui parlent devraient être Active Directory / DC (effectuer des mises à jour) et les serveurs BIND récupérer ces mises à jour pour servir à d'autres systèmes).

voretaq7
la source
9

  1. "Je voudrais supprimer la fonction DNS des contrôleurs de domaine Windows" - Ceci est incorrect. Le rôle DC et le rôle DNS sont deux rôles distincts. Ils sont très souvent installés sur la même machine mais ce n'est pas obligatoire.

  2. "Je sais qu'il est possible de configurer la coexistence mais cela nécessite un nombre de serveurs DNS Windows supplémentaires égal au nombre de contrôleurs de domaine dans le réseau." - C'est aussi incorrect. Vous n'avez pas besoin d'un nombre correspondant de serveurs DNS pour les contrôleurs de domaine.

  3. Vous pouvez utiliser un serveur DNS non Microsoft tant qu'il répond aux exigences du DNS pour prendre en charge AD. Si Bind9 répond à ces exigences, vous êtes le bienvenu pour l'utiliser.

joeqwerty
la source
La documentation de Microsoft indique que l'utilisation d'un serveur DNS par contrôleur de domaine est une bonne pratique. Mais je peux comprendre que mes prémisses sont fausses. Aucun problème, mais la vraie solution du problème n'a pas été présentée. Je fais des tests par moi-même en ce moment, essayant de résoudre ce problème.
Vinícius Ferrão
2
Vous n'avez pas vraiment signalé de problème dans votre question. Vous avez demandé si BIND9 peut être utilisé comme serveur DNS pour AD et j'ai répondu qu'il le pouvait s'il répond aux exigences de prise en charge d'AD. Cet article implique qu'il le fait: technet.microsoft.com/en-us/library/dd316373.aspx
joeqwerty
Hm, je pensais que la question principale était claire: "Comment faire BIND9 s'occupe de toutes ces données spécifiques AD? Et avec une mise à jour dynamique pour rendre AD encore plus heureux." Désolé si je n'ai pas pu m'exprimer ... J'ai fait quelques progrès, mais je ne peux pas mettre à jour le serveur DNS avec le nom d'une machine jointe dans le domaine; une idée Joe? J'ai eu cette erreur sur BIND9: "13 mai 16:20:34 debian nommé [5994]: client 172.16.144.107 # 60932: mise à jour 'domain.com/IN' refusée" Mais donner la permission à toutes les adresses IP n'était pas viable option.
Vinícius Ferrão
Existe-t-il un paramètre dans BIND DNS pour autoriser les mises à jour non sécurisées? Si c'est le cas, c'est probablement ce que vous devez activer.
joeqwerty
2
@ ViníciusFerrão Vous devez configurer correctement BIND pour prendre en charge les mises à jour dynamiques à partir de votre serveur AD. Reportez-vous à la documentation BIND. Honnêtement, je ne recommanderais pas cela - Si vous avez un réseau Microsoft / AD, vous devez utiliser le serveur DNS Microsoft et les zones intégrées AD (ce qui peut rendre vos serveurs BIND esclaves pour la zone AD). Vous vous créez simplement des problèmes en essayant de bricoler cela ensemble.
voretaq7