使用 BIND9 和 DHCPD 支持 Windows 域
我們目前執行兩個 DNS 系統。Windows 域將 Windows DNS 用於內部域。我們的 BIND9 安裝服務於我們的公共域 DNS。因為我們在 Unix 上執行 BIND,所以它被稱為“Unix DNS”。我們所有的 Unix/Linux 系統都有我們公共域的 FQDN。所有加入域的 Windows 系統都有我們內部網路的 FQDN,但如果需要從 Internet 訪問它們,它們的 hostname.publicdomain.edu 也有一個 BIND 條目。
當我們將域遷移到 Windows 2008 R2 時,我們希望整合我們的 DNS 系統。目標是使用 BIND 來做所有事情。我知道這是可能的,但來自微軟的細節有點稀缺。我們希望放棄或盡量減少使用或依賴 Windows DNS 和 DHCP。我們還想考慮移動到單個域空間,而不是讓我們的 BIND 安裝託管我們的 Windows 系統目前正在處理的單獨區域。
我已經對此進行了大量研究,並且有足夠的資訊來推進測試環境,但我正在尋找其他已經這樣做或類似的東西。
優點?缺點?明白了嗎?
我以前沒有這樣做過,但是結合 Microsoft 的文件和與客戶的交談,我知道使用 BIND9 支持 AD 是可行的。
AD 需要 SRV RR。BIND9 可以毫無問題地做到這一點。如果 AD 沒有能力解決它想要註冊的各種 SRV RR,就會發生很多令人討厭的事情。複製中斷,知識一致性檢查器(建構站點內複製拓撲)中斷,來自客戶端的登錄中斷。域的“A”記錄解析到域中的所有域控制器,預設情況下,客戶端電腦上的 DFS 使用它來解析域“SYSVOL”位置並獲取 DFS 引用到最近的文件,所以它需要存在,否則組策略將無法正常工作。
動態 DNS 是首選,因為 AD 域控制器想要註冊相當數量的記錄(SRV RR、站點等)。動態 DN 不是必需的,但您必須在添加新 DC 或刪除舊 DC 時手動更新區域。BIND 9.5.0 支持 GSS-TSIG,Microsoft 客戶端使用它來執行動態更新。您必須將 BIND 與 AD 提供的 Kerberos 集成才能使其正常工作,但您確實應該這樣做,因為它將為您提供安全的動態更新。
有趣的是,我聽說人們談論使用 BIND9 而不是 Microsoft DNS 的“隨機陌生性”。我從未直接在其中一個網路中工作過,但我從那些我尊重他們意見的人那裡聽說過。我猜想微軟 DNS 實現中可能存在一些輕微的人工製品,與 BIND9 相比,它在 AD 上的“播放”效果更好。DNS 就是 DNS,但我懷疑 Microsoft 是否像使用自己的 DNS 伺服器那樣全面地使用 BIND9 測試 AD。
如果您要像您建議的那樣擁有這樣一個統一的 DNS 基礎結構,我強烈建議您使用“視圖”來限制對 _msdcs.domain.suffix 區域的訪問,以限制域成員電腦所在的網路。讓 Internet 看到有關您的域控制器電腦、站點等的任何資訊是沒有意義的。對於攻擊者來說,在支持 AD 的 DNS 中有很好的資訊。
如果我沒看錯的話,聽起來您可能還想更改 Active Directory 域的現有 DNS 域名。如果不小心進行更改,可能會出現問題。Exchange、DFS、證書服務以及與其他域的信任關係會產生影響。更深入的資訊可從 Microsoft 獲得: http : //download.microsoft.com/download/9/6/5/965e6899-e086-4b3e-8ed6-516ea07ea225/domain-rename-intro.doc重命名域,但它必須是有計劃和協調的活動。
您的標題提到了 ISC DHCPD,但您的問題並沒有真正解決它。我不記得 ISC DHCPD 中存在哪些動態 DNS 更新功能,但您始終可以將域成員電腦配置為執行自己的 DNS A 和 PTR 記錄註冊,而不是依賴 DHCP 伺服器來完成。(我一直認為擁有 DHCP 註冊 A 記錄,因為微軟的股票配置有效,有點傻。)微軟 DHCP 伺服器沒有提供 ISC DHCP 伺服器無法處理的“特殊”選項(沒有對協議的專有擴展等)。我已經支持具有各種 DHCP 伺服器(ISC、嵌入在 Cisco 設備中、Windows)的 Windows 域成員客戶端電腦,並且沒有任何不良影響。