Domain-Name-System
如何將 DNS 伺服器與 AD 域控制器分離?
我有一個 Active Directory 域控制器託管自己的 DNS 域的環境(這很常見)。
但是,我們正在嘗試分離 DNS 並將其託管在獨立伺服器上(最終轉移到 Linux Bind,但現在只是解耦)
我已經在實驗室環境中對此進行了測試,但無法使解耦工作。
第一步 - 基本設置
- 創建一個廣告區“mylab.com”
- 添加域控制器“server1.mylab.com”
- AD 可以完美地更新域
第二步 - 移出 DNS 區域
- 備份和刪除整個區域“mylab.com”
- 為指向獨立 DNS 伺服器的“mylab.com”創建條件轉發器
- 在獨立 DNS 伺服器上手動創建一個新區域“mylab.com”
- 允許獨立伺服器上的不安全更新(綁定時將是“允許更新 ACL”)
第三步 - 測試從 AD 到獨立的 DNS 更新
- 重新啟動 NetLogon 服務
這應該會觸發 DC 在新獨立 DNS 伺服器上託管的“mylab.com”上創建所有與 AD 相關的 DNS 記錄。
但我沒有在獨立 DNS 伺服器日誌上看到任何 DNS 更新嘗試。
我確實看到來自 DC 的 DNS 查詢,但沒有更新)
我沒有看到任何關於更新名稱伺服器記錄的提及。下面的連結描述了涉及 dns 區域傳輸的過程。
https://community.spiceworks.com/topic/2266049-migrating-from-windows-dns-to-bind-dns-on-linux
步驟都是正確的。我用相同的步驟讓它工作。
唯一的問題是 NS 記錄的 FQDN 如果它們不屬於同一域,則可能需要單獨轉發。否則 DC 將不知道將 DDNS 更新發送到何處。它通過首先查找區域的 SOA 和 NS 記錄來做到這一點。
在我的特定環境中,我必須將 NS 記錄修改為位於同一區域中。