Wie kann ich BIND und Microsoft DNS dazu bringen, gut zusammenzuarbeiten?

7

Ich möchte versuchen, so viel wie möglich von unserer Firmen-DNS-Konfiguration in BIND zu verschieben, da ich es einfacher finde, damit zu arbeiten. Wenn wir jedoch Active Directory haben, müssen wir mindestens die Zone der Domäne in Microsoft DNS haben.

Vielleicht könnte ich die Zone der Domain (z. B. company.local) in MSDNS haben, aber eine andere Zone in BIND (z. B. company.org), die Vorwärts- und Rückwärtszonen für dieselben Computer hat. Der DHCP-Server kann BIND als primäres und sekundäres DNS zuweisen, und wir verwenden diese Zone nur für den täglichen Gebrauch. Wir könnten auch Slave-Zonen für die Domänenzone in BIND erstellen. Wir verschieben lediglich alle expliziten DNS-Vorgänge in BIND, halten jedoch die Domänenzone über BIND verfügbar, damit AD funktionieren kann.

Hat jemand dies getan und es geschafft? Oder ist es eine außerordentlich schlechte Idee? :) :)

linux  windows  windows-server-2003  networking  domain-name-system 
Cawflands
quelle

Antworten:

6

Wir machen das. Ich bin mir nicht sicher, ob ich es empfehlen würde, aber wir machen es:

Solaris-Server mit BIND

  • wird für jede Forward-Domain mit Ausnahme von example.ad autorisierend ausgeführt
  • wird für jede inaddr.arpa-Zone mit Ausnahme derjenigen, die von AD DHCP bereitgestellt werden, autorisierend ausgeführt
  • zieht zum Beispiel Slave.ad und DHCP-Bereiche von AD-DNS-Servern

Linux-Server mit BIND

  • zieht zum Beispiel Slave.ad und DHCP-Bereiche von AD-DNS-Servern
  • zieht Sklave für alles andere von Solaris Primary.

AD DNS-Server

  • führt master zum Beispiel aus
  • Führt den Master für jede von AD DHCP bereitgestellte Zone inaddr.arpa aus.
  • leitet alle rekursiven Anforderungen an die installierten Solaris / Linux-BIND weiter

Windows-Clients

  • Zuweisung der AD DNS-Server durch AD DHCP. Wir haben damit experimentiert und festgestellt, dass "die von uns verwendete Microsoft-Produktfamilie" den AD-DNS-Server nicht gern hatte. Wir haben vielleicht zu früh aufgegeben, aber es lief nicht gut, soweit ich mich erinnere.

UNIX / Linux / operative Clients:

  • fest codierte BIND-DNS-Server

In der Praxis haben wir folgende Richtlinien erlassen:

  • Jeder Datensatz, der sich auf Dienste der IT-Klasse bezieht (Austausch usw.), erhält in example.ad einen A-Datensatz und in example.com einen CNAME für record.example.ad
  • Jeder Datensatz, der sich auf Betriebs- oder Netzwerkgeräte bezieht, erhält einen A-Datensatz in example.com und einen CNAME in example.ad.

Unser Setup ist sogar noch etwas komplexer, da wir eine Firma gekauft haben, die Netware / AD für DNS / DHCP verwendet, sodass wir ähnliche Regeln für sie haben.

Ich bin mir nicht sicher, ob ich dies empfehlen würde, wenn Ihre Hand nicht gezwungen wird. Unsere Installation ist ein Versuch, das Beste aus schlechten Umständen herauszuholen. Aber ich muss zugeben, dass ich wie BIND mit so viel mehr als AD DNS, also, da wir eindeutig nicht loswerden AD in Gang zu bringen, es ist eine schöne Art und Weise zu haben einige Verwendung von BIND.

Ein Problem, das wir hatten, ist das Zwischenspeichern auf dem AD-DNS-Server. Wir haben versucht, unsere operativen Kunden darüber zu informieren, dass ihre Laptops AD DNS verwenden. Änderungen werden jedoch in BIND vorgenommen. Wenn sie also Änderungen vornehmen und diese überprüfen möchten, müssen sie diese manuell auf den richtigen Servern nachschlagen. Das ist ärgerlich, aber es ist ein Problem, das überraschend oft auftaucht.

Ich hoffe, das hilft.

jj33
quelle
1
"Wir machen das. Ich bin mir nicht sicher, ob ich es empfehlen würde, aber wir machen es" - +1 für Offenheit :)
Cawflands
3

Ich habe das schon einmal gemacht und ich werde versuchen, aus dem Gedächtnis zu rekonstruieren, was ich getan habe.

Die Situation:

Win2K-Domänencontroller, verschiedene Windows-Desktops, AD-Umgebung. Der DNS-Server müsste alle paar Tage neu gestartet werden, da er einfach nicht mehr funktioniert.

Die Lösung:

Ich hatte eine Linux-Box im Netzwerk, auf der eine kleine Intranetsite ausgeführt wurde, also habe ich BIND auf dieser Box abgelegt. Ich habe BIND als Slave in der Zone eingerichtet und die Win2K-Box so konfiguriert, dass Domänenübertragungen an sie gesendet werden. Dann habe ich den DHCP-Server auf der Win2K-Box so konfiguriert, dass die BIND-Box als primärer DNS-Server und die Win2K-Box als sekundärer DNS-Server bereitgestellt wird. Jetzt werden alle Aktualisierungen der DNS-Tabelle auf der Win2K-Box (einschließlich der Client-Boxen, da sie alle DHCP waren) auf dem BIND-Server veröffentlicht, und alles hat hervorragend funktioniert. Der Win2K-DNS-Server musste nie wieder neu gestartet werden.

Harper Shelby
quelle
2

Das Hauptproblem sind die dynamischen Active Directory-DNS-Aktualisierungen, die für die A-Einträge der Domänencontroller, die PTR-Einträge und den Eintrag von domain.com selbst durchgeführt werden. Außerdem die unterstrichenen Zonen _msdcs.domain.com, _sites.domain.com , _tcp.domain.com, _udp.domain.com.

Wenn Ihre BIND-Version diese dynamischen Updates unterstützen kann, können Sie einfach BIND verwenden.

Wenn nicht, müssen Sie MS-DNS für die unterstrichenen Zonen verwenden. Sie können den A-, PTR- und domain.com-Eintrag jedoch manuell codieren und verwalten, wenn Sie DCs hinzufügen / entfernen. Machen Sie MS-DNS zur Autorität für die unterstrichenen Zonen und übertragen / leiten Sie sie an BIND weiter, damit Clients sie finden können.

Oder verwenden Sie eine andere Domain vollständig für AD (wenn Sie können) wie corp.domain.com, hosten Sie diese vollständig in MS-DNS und übertragen Sie sie an BIND.

Windows-Clientcomputer möchten auch dynamisch A / PTR-Einträge erstellen. BIND selbst muss dies für sie tun oder ihnen erlauben, dies zu tun, oder erneut MS-DNS für die gesamte Zone verwenden.

James Risto
quelle
1

Genau das haben wir in unserer alten Firma gemacht:

company.com war die offizielle Domain, die wir in BIND gepflegt haben

company.net war der AD-Domainname - AD konnte in dieser Zone alles tun, was es wollte, und es wäre uns egal

Dies hielt die Dinge für uns schön getrennt und funktionierte großartig.

MikeyB
quelle
1

Das Mischen von Bind und MSDNS ist ziemlich gut dokumentiert. Eine schnelle Suche ergab http://support.microsoft.com/kb/255913 , aber es gibt wahrscheinlich noch mehr.

Sie müssen entscheiden, was Sie haben möchten. Vorherige Firma, ich habe die Bindung für alles eingerichtet, außer für _ {msdcs, sites, tcp, udp} und eine Subdomain, in der Desktops lebten, damit sie sichere dynamische Updates durchführen konnten. Es funktioniert einfach. (DHCP war unter Unix.)

Das Mischen der beiden bringt zusätzliche Arbeit mit sich, um die Dinge sauber und auf dem neuesten Stand zu halten, aber es ist nicht das Ende der Welt

Toto
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.