web-dev-qa-db-ja.com

ActiveDirectoryをWindowsクライアントおよびLinuxクライアントとサーバーと統合するにはどうすればよいですか

WindowsクライアントとLinuxクライアントがあり、両方にActive Directory認証を提供したいが、LinuxサーバーでDHCPとDNSを維持したい。これは可能ですか?私は管理の経験がほとんどなく、すべてが連携して機能するようにこれを実装する方法について、ここで少し迷っています。

これを行うための最良の方法は何ですか? 2003年以降であれば、LinuxディストリビューションとWindowsサーバーのバージョンを自由に選択できます。

2
Steve Nadie

WindowsクライアントとLinuxクライアントがあり、両方にActive Directory認証を提供したいが、LinuxサーバーでDHCPとDNSを維持したい。これは可能ですか?

ADとDNSは非常に緊密に統合されているため、ADDNSにLinuxサーバーを使用するのは本当にPITAです。あなたはそれを行うことができますが、サポートを得て頑張ってください。私がお勧めするのは、すべてのクライアントとサーバーをDNS用のAD DNSサーバーにポイントし、AD DNSサーバーにグローバルフォワーダーを配置して、残りのインフラストラクチャをホストするLinuxサーバーをポイントすることです。 AD名前空間が既存の名前空間と重複しない限り(重複してはなりません)、これは問題なく機能します。

2003より前であれば、LinuxディストリビューションとWindowsサーバーのバージョンを自由に選択できます。

ええと。もし私があなたなら、この制限でこれをすることはまったくありません。これにより、Windows 2000が残り、ほとんどの最新のハードウェア(ドライバーなどなし)にはインストールされません。また、サポート終了であり、いかなる種類のパッチもありません。

4
MDMarra

ADはサービスロケーションプロトコルにDNSを使用するため(SRVレコードタイプを介して)、ActiveDirectoryをDNSに満足させることが主な問題になります。ただし、大規模なMicrosoft環境でLinux DNSとDHCP(つまり、BIND DNSサーバーと標準のdhcpdデーモン)を使用することは、サポートが非常に簡単であり、DNSとUnixサービスの使用を主張するMicrosoftの大規模な顧客が多数います。 DHCP。

DHCPの場合、環境で必要なすべてのオプションを渡していることを確認する必要があります。オプションはかなり異なるので、基本を説明するNice Microsoft Technetの記事がありますが、Googleに翻弄されます( http://technet.Microsoft.com/en-us/library/ cc958929.aspx )。ご使用の環境に適した上記のパラメーターを提供するようにdhcpdが構成されていることを確認してください(そして、大丈夫なdhcpdチュートリアルは https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/ 6/html/Deployment_Guide/s1-dhcp-configuring-server.html

DNSはより重要な部分です。組織内のすべてのサーバーには、適切な順方向(Aレコード)および逆方向(in-addr.arpaレコード)のルックアップエントリが必要です。さらに、各Windowsサーバーは、クライアントにそのサーバー上で見つけることができるサービスを知らせるために、いくつかのサービス(SRV)エントリを必要とします。サーバーエントリの作成には、2つの方法があります。最初の方法は、手動で作成することです。「Active Directory BIND DNS」をグーグルで検索すると、かなり良い議論が見つかります(たとえば、 http://technet.Microsoft.com/en-us/library) /dd316373.aspx および http://itsjustanotherlayer.com/2009/11/running-20008-active-directory-with-bind/ が上位2つの検索です)。

ただし、別の方法をお勧めします。 Windowsサーバーをセットアップする前に、Linux BINDDNSサーバーにエントリを書き込んで更新する権利をIPアドレスに与えます。次に、Windowsサーバーをセットアップ(または更新)するときに、高度なネットワークコントロールパネルでドメインサフィックスを指定し、チェックボックスをオンにしてサーバーがエントリの更新を試行するようにします。その後、サーバーは、サーバーで構成されているすべてのサービスについて、DNSに独自のエントリを作成しようとします。理論的には、これはセキュリティホールです。これは、侵害される可能性のあるサーバーに任意のDNSレコードを書き込ませるためです。ただし、実際には、ADのメンテナンスがはるかに簡単になることがわかりました。

また、動的DNS(DDNS)を設定することもできます。これにより、dhcpサーバーがクライアントのホスト名をDNSサーバーに渡して、順方向および逆方向のエントリとして追加できるようになります。それに関する失敗した良いチュートリアルは http://www.semicomplete.com/articles/dynamic-dns-with-dhcp/ で見つけることができます

使用しているDNSとDHCPの概念を理解したら、Linux DNSとDHCPを介してADを構成することは難しくなく、保守も簡単です。ただし、全体として、Microsoftがサービス検出をDNSに押し付けず、SLPのような実際のサービスプロトコルを使用していたことを望みます。

2
Johnnie Odom