web-dev-qa-db-ja.com

ADネットワークでBIND9を優先してWindowsDNSを完全に削除できますか?

WindowsドメインコントローラーのDNS機能を削除し、DNSサーバーがBIND9サーバーを指すようにします。

共存を設定することは可能ですが、これには、ネットワーク内のドメインコントローラーの数と同じ数の追加のWindowsDNSサーバーが必要です。

Active Directoryは、_msdcsゾーンおよび_tcp、_udpなどの他のものを想定しています。等.

主な質問は、BIND9にこのAD固有のデータをすべて処理させる方法です。そして、ADをさらに幸せにするための動的更新を備えています。

ありがとう、

PS:ActiveDirectory固有のゾーンを解決するためにBIND9がWindowsDNSサーバーを指すようにすることはオプションではありません。私たちはすでにこれを行っています...

編集:今日のように、私はWindowsDNSなしで実行しています。これを行う方法についてのガイドを書いているので、このトピックを更新します。

11

ADネットワークでBIND9を優先してWindowsDNSを完全に削除できますか?

はい。 joeqwertyが指摘したように DNSサーバーがActiveDirectoryをサポートするDNSの要件を満たしている限り、ADDNSとして使用できます。
(BINDはそうです、 MicrosoftはJoeがリンクしたガイダンスも提供しています そしてあなたはGoogleでたくさんの記事を見つけることができます。

それはあなたが尋ねるべき質問ではありません、あなたが尋ねるべき質問は:

[〜#〜] should [〜#〜]私はWindowsDNSを完全に削除してADネットワークのBIND9?

私の個人的な意見では、あなたが痛みを好まない限り、答えは絶対にありませんです。
ADとWindowsDNSは絡み合っています-確かにそれらをこじ開けることはできますが、そうすることは快適ではなく、後で問題を引き起こす可能性があります。

Windows DNSサーバーを公開しないことが目標である場合(セキュリティ上の理由、サーバーの負荷を最小限に抑えるなど)、BIND DNSサーバーをスレーブにして、ADDNSゾーンを複製することをお勧めします。
これにより、Windowsサーバーが詮索好きな目(および過度の負荷)から保護されますが、ActiveDirectoryは認識していて愛用しているWindowsDNSサーバーと通信できます。
このルートを使用すると、Windows DNSサーバーの数を最小限に抑えることもできます。これは、WindowsDNSサーバーと通信するのはActiveDirectory/DC(更新を行う)と、それらの更新をフェッチして他のシステムに提供するBINDサーバーのみであるためです。 )。

9
voretaq7
  1. 「WindowsドメインコントローラーのDNS機能を削除したい」-これは正しくありません。 DCロールとDNSロールは2つの別個のロールです。これらは同じマシンにインストールされることがよくありますが、これは必須ではありません。

  2. 「共存を設定することは可能ですが、これにはネットワーク内のドメインコントローラーの数と同じ数の追加のWindowsDNSサーバーが必要です。」 -これは間違いです。ドメインコントローラーに一致する数のDNSサーバーは必要ありません。

  3. ADをサポートするDNSの要件を満たしている限り、Microsoft以外のDNSサーバーを使用できます。 Bind9がこれらの要件を満たしている場合は、それを使用することを歓迎します。

9
joeqwerty