web-dev-qa-db-ja.com

BINDとMicrosoft DNSをうまく連携させるにはどうすればよいですか?

会社のDNS構成のほとんどをBINDに移動したいと思います。作業しやすいからですが、Active Directoryを持っていると、少なくともMicrosoft DNSにドメインのゾーンが必要になります。

たぶん、MSDNSにドメインのゾーン(company.localなど)があり、BIND(company.orgなど)に同じコンピューターのフォワードゾーンとリバースゾーンを持つ別のゾーンがあるかもしれません。 DHCPサーバーはBINDをプライマリおよびセカンダリDNSに割り当てることができ、そのゾーンを日常的に使用するだけです。 BINDでドメインゾーンのスレーブゾーンを作成することもできます。すべての明示的なDNS操作をBINDに移動するだけで、ADが機能できるようにBINDを介してドメインゾーンを使用できるようにします。

誰かがこれを行って成功しましたか?それとも非常に悪い考えですか? :)

linuxwindowswindows-server-2003networkingdomain-name-system
7
Cawflands

これを行います。お勧めするかどうかはわかりませんが、次のようにしています。

BINDを実行しているSolarisサーバー

  • example.adを除くすべての転送ドメインに対して信頼できる
  • aD DHCPによって提供されるゾーンを除くすべてのin-addr.arpaゾーンに対して信頼できる実行
  • aD DNSサーバーからexample.adおよびDHCP範囲のスレーブをプルします

bINDを実行しているLinuxサーバー

  • aD DNSサーバーからexample.adおよびDHCP範囲のスレーブをプルします
  • ソラリスプライマリから他のすべてのスレーブをプルします。

AD DNSサーバー

  • example.adのマスターを実行します
  • aD DHCPが提供するすべてのin-addr.arpaゾーンのマスターを実行します。
  • すべての再帰リクエストをsolaris/linux BINDインストールに転送します

Windowsクライアント

  • AD DHCPによってAD DNSサーバーを割り当てた。私たちはこれを実験し、私たちが使用した「Microsoft製品ファミリー」はAD DNSサーバーがないことを嫌っていました。早い段階で諦めたかもしれませんが、私の記憶ではうまくいきませんでした。

UNIX/Linux /運用クライアント:

  • ハードコードされたBIND DNSサーバー

実際に、私たちが制定したいくつかのポリシーを次に示します。

  • iTクラスのサービス(交換など)を参照するレコードは、example.adでAレコードを取得し、example.comのrecord.example.adへのCNAMEを取得します
  • オペレーショナルギアまたはネットワークギアを参照するレコードは、example.comでAレコードを取得し、example.adでCNAMEを取得します。

DNS/DHCPにNetware/ADを使用する会社を購入したため、同様の一連のルールがあるため、実際のセットアップはそれよりも少し複雑です。

あなたの手が無理がない場合、私はこれを行うことをお勧めするかどうかはわかりません。私たちのインストールは、一連の悪い状況を最大限に活用するための試みです。ただし、AD DNSよりもBINDの方がはるかに好きであることを認めなければなりません。そのため、明らかにADを取り除くつもりはないので、someを使用するのは良い方法です。練る。

私たちが抱えている1つの問題は、AD DNSサーバーでのキャッシュです。ラップトップはAD DNSを使用していることを運用ユーザーに教育しようとしましたが、変更はBINDで行われるため、変更を加えて確認したい場合は、正しいサーバーに対して手動で調べる必要があります。それは厄介なことですが、驚くほど頻繁に発生する問題です。

お役に立てば幸いです。

6
jj33

私は以前にこれをやったことがあり、私は自分のしたことを記憶から再構築しようとするでしょう。

状況:

Win2Kドメインコントローラー、さまざまなWindowsデスクトップ、AD環境。 DNSサーバーは数日ごとに再起動する必要があります。これは、DNSサーバーが機能しなくなるためです。

ソリューション:

小さなイントラネットサイトを実行しているネットワーク上にLinuxボックスがあったため、そのボックスにBINDをドロップしました。 BINDをゾーンのスレーブとして設定し、Win2Kボックスにドメイン転送を送信するように構成しました。次に、Win2KボックスでDHCPサーバーを構成して、BINDボックスをプライマリDNSサーバーとして提供し、Win2KボックスをセカンダリDNSサーバーとして提供しました。これで、Win2KボックスのDNSテーブルへのすべての更新(すべてDHCPだったため、クライアントボックスを含む)がBINDサーバーに発行され、すべてが適切に機能しました。 Win2K DNSサーバーを再び再起動する必要はありませんでした。

3
Harper Shelby

重要な問題は、ドメインコントローラーのAレコード、PTRレコード、およびdomain.comレコード自体に対して行うActive Directory動的DNS更新です。さらに、アンダースコアのゾーン_msdcs.domain.com、_sites.domain.com 、_tcp.domain.com、_udp.domain.com。

BINDバージョンがこれらの動的更新をサポートできる場合は、BINDを使用できます。

そうでない場合は、アンダースコアの付いたゾーンにMS-DNSを使用する必要がありますが、A、PTR、およびdomain.comレコードを手動でコーディングし、DCを追加/削除する場合にそれを維持できます。 MS-DNSをアンダースコアゾーンの権限にし、ゾーンをBINDに転送/転送して、クライアントが見つけられるようにします。

または、corp.domain.com、完全にMS-DNSでホストされているホストなど、ADに完全に別のドメインを使用し(可能な場合)、BINDに転送/転送します。

WindowsクライアントマシンもA/PTRレコードを動的に作成する必要があるため、BIND自体がそれを実行するか、許可するか、ゾーン全体にMS-DNSを再度使用する必要があります。

2
James Risto

私たちは古い会社でこれを正確に行いました:

company.comは、BINDで維持した公式ドメインでした

company.netはADドメイン名でした-ADはそのゾーンで必要なすべてを実行でき、気にしませんでした

これは私たちのために物事をうまく分離し続け、うまく働きました。

1
MikeyB

BindとMSDNSの混合はかなりよく文書化されており、簡単な検索が行われました http://support.Microsoft.com/kb/25591 ですが、おそらくまだまだあります。

以前の会社では、_ {msdcs、sites、tcp、udp}とデスクトップが存在するサブドメインを除くすべてのバインドを設定して、動的更新を安全に行えるようにしました。うまくいきます。 (DHCPはUnix上にありました。)

2つを混合すると、物事をクリーンで最新の状態に保つために追加の作業が必要になりますが、それは世界の終わりではありません

1
Toto