it-swarm-es.com

¿Cómo puedo hacer que BIND y Microsoft DNS funcionen bien juntos?

Me gustaría intentar mover la mayor parte de la configuración de DNS de nuestra empresa a BIND, porque me resulta más fácil trabajar con él, pero tener Active Directory significa que tenemos que tener al menos la zona del dominio en Microsoft DNS.

Tal vez podría tener la zona del dominio (por ejemplo, company.local) en MSDNS, pero tener otra zona en BIND (por ejemplo, company.org) que tenga zonas de avance y retroceso para las mismas computadoras. El servidor DHCP puede asignar BIND como DNS primario y secundario, y solo usamos esa zona para el uso diario. También podríamos crear zonas esclavas para la zona de dominio en BIND, simplemente movemos todas las operaciones de DNS explícitas a BIND, pero mantenemos la zona de dominio disponible a través de BIND para que AD pueda funcionar.

¿Alguien ha hecho esto y ha tenido éxito? ¿O es una idea extraordinariamente mala? :)

7
Cawflands

Nosotros hacemos esto. No sé si lo recomendaría, pero lo hacemos:

Servidor Solaris que ejecuta BIND

  • se ejecuta con autoridad para todos los dominios directos excepto example.ad
  • se ejecuta de forma autorizada para cada zona in-addr.arpa, excepto aquellas servidas por AD DHCP
  • extrae esclavo, por ejemplo, rangos de AD y DHCP de servidores AD DNS

servidor linux ejecutando BIND

  • extrae esclavo, por ejemplo, rangos de AD y DHCP de servidores AD DNS
  • tira esclavo para todo lo demás desde solaris primaria.

Servidores DNS AD

  • ejecuta master por ejemplo.
  • ejecuta master para cualquier zona in-addr.arpa servida por AD DHCP.
  • reenvía todas las solicitudes recursivas a las instalaciones de solaris/linux BIND

Clientes de Windows

  • Asignado los servidores AD DNS por AD DHCP. Experimentamos con esto y descubrimos que a "la familia de productos de Microsoft" que utilizamos no le gustaba no tener el servidor AD DNS. Puede que nos hayamos dado por vencidos temprano, pero por lo que recuerdo no salió bien.

Clientes UNIX/Linux/operativos:

  • servidores DNS BIND codificados

En la práctica, aquí hay algunas políticas que hemos promulgado:

  • cualquier registro que se refiera a servicios de clase de TI (intercambio, etc.) obtiene un registro A en example.ad y obtiene un CNAME para record.example.ad en example.com
  • cualquier registro que se refiera a equipo operativo o de red obtiene un registro A en example.com y un CNAME en example.ad.

Nuestra configuración es incluso un poco más compleja que eso porque compramos una empresa que usa Netware/AD para DNS/DHCP, por lo que tenemos un conjunto similar de reglas para ellos.

No estoy seguro de recomendar hacer esto si tu mano no está forzada. Nuestra instalación es un intento de aprovechar al máximo un conjunto de circunstancias negativas. Sin embargo, tengo que admitir que me gusta usar BIND mucho más que AD DNS, así que, dado que claramente no vamos a deshacernos de AD, es una buena manera de tener algo uso de ENLAZAR.

Un problema que hemos tenido es el almacenamiento en caché en el servidor DNS de AD. Hemos tratado de educar a nuestros clientes operativos de que sus computadoras portátiles usan AD DNS, pero los cambios se realizan en BIND, por lo que si realizan un cambio y quieren verificarlo, deben buscarlo manualmente en los servidores correctos. Eso es una molestia, pero es un problema que surge sorprendentemente a menudo.

Espero que ayude.

6
jj33

He hecho esto antes y trataré de reconstruir de memoria lo que hice.

La situación:

Controlador de dominio Win2K, varios escritorios Windows, entorno AD. El servidor DNS necesitaría reiniciarse cada pocos días porque, bueno, simplemente dejaría de funcionar.

La solución:

Tenía una caja de Linux en la red ejecutando un pequeño sitio de intranet, así que coloqué BIND en esa caja. Configuré BIND como esclavo en la zona y configuré la caja Win2K para enviarle transferencias de dominio. Luego configuré el servidor DHCP en la caja Win2K para proporcionar la caja BIND como servidor DNS primario y la caja Win2K como servidor DNS secundario. Ahora todas las actualizaciones de la tabla DNS en la caja Win2K (incluidas las cajas cliente, ya que eran todas DHCP) se publicarían en el servidor BIND, y todo funcionó muy bien. Nunca tuve que reiniciar el servidor DNS Win2K nuevamente.

3
Harper Shelby

El problema clave son las actualizaciones dinámicas de DNS de Active Directory que realiza para los registros A de los controladores de dominio, los registros PTR y el registro domain.com en sí ... además, las zonas subrayadas _msdcs.domain.com, _sites.domain.com , _tcp.domain.com, _udp.domain.com.

Si su versión de BIND puede admitir estas actualizaciones dinámicas, puede usar BIND.

De lo contrario, debe usar MS-DNS para las zonas subrayadas, sin embargo, puede codificar manualmente el registro A, PTR y domain.com usted mismo y mantenerlo si/cuando agrega/elimina DC. Haga que MS-DNS sea la autoridad para las zonas subrayadas y transfiéralas/reenvíelas a BIND para que los clientes puedan encontrarlas.

O, use un dominio completamente diferente para AD (si puede) como corp.domain.com, aloje eso completamente en MS-DNS y transfiéralo/reenvíelo a BIND.

Las máquinas cliente de Windows también querrán crear dinámicamente registros A/PTR, por lo que BIND mismo debe hacer eso por ellos o permitirles hacerlo, o nuevamente usar MS-DNS para toda la zona.

2
James Risto

Hicimos exactamente esto en nuestra antigua empresa:

company.com era el dominio oficial que manteníamos en BIND.

company.net era el nombre de dominio de AD: AD podía hacer todo lo que quisiera en esa zona y no nos importaría

Esto mantuvo las cosas bien separadas para nosotros y funcionó muy bien.

1
MikeyB

La combinación de Bind y MSDNS está bastante bien documentada, una búsqueda rápida apareció http://support.Microsoft.com/kb/25591 , pero probablemente haya más por ahí.

Tienes que decidir lo que te interesa tener. Empresa anterior, configuré el enlace para todo excepto _ {msdcs, sites, tcp, udp} y un subdominio donde vivían los escritorios para que pudieran realizar actualizaciones dinámicas seguras. Simplemente funciona. (DHCP estaba en Unix).

Combinar los dos trae algo de trabajo adicional para mantener las cosas limpias y actualizadas, pero no es el fin del mundo.

1
Toto