我们目前运行两个DNS系统。 Windows域使用Windows DNS作为内部域。 我们的BIND9安装服务于我们的公共领域的DNS。 由于我们在Unix上运行BIND,因此被称为“Unix DNS”。 我们所有的Unix / Linux系统都有我们公有领域的FQDN。 所有join域的Windows系统都具有我们内部networking的FQDN,但是如果需要从Internet访问它们,它们的hostname.publicdomain.edu也会有一个BIND条目。
当我们将域名迁移到Windows 2008 R2时,我们正在考虑整合我们的DNS系统。 目标是使用BIND来完成一切。 我知道这是可能的,但微软的细节有点稀缺。 我们想沟通或尽量减less使用或依靠Windows DNS和DHCP。 我们还想考虑转移到一个单独的域空间,而不是让我们的BIND安装托pipe我们的Windows系统当前处理的单独的区域。
我已经做了大量的研究,并且有足够的信息来推进testing环境,但是我正在寻找其他人已经做了这个或类似的事情。
优点? 缺点? 陷阱?
我之前没有做过,但是我从微软的文档和客户的交谈中得知,使用BIND9来支持AD是可行的。
AD需要SRV RR。 BIND9可以做到这一点,没有任何问题。 如果AD没有能力解决它想要注册的各种SRV RR,就会发生许多令人讨厌的事情。 复制中断,知识一致性检查程序(build立站点内复制拓扑)中断,客户端login中断。 DFS在客户端计算机上使用parsing域中所有域控制器的域的“A”logging来parsing域的“SYSVOL”位置,并将DFS引用到最近的文件,所以它需要存在或组策略将无法正常工作。
dynamicDNS是非常受欢迎的,因为AD域控制器想要注册相当数量的logging(SRV RR,站点等)。 dynamicDN不是必需的 ,但是当新的DC被添加或旧的DC被删除时,您将不得不手动更新区域。 BIND 9.5.0支持Microsoft客户端用于执行dynamic更新的GSS-TSIG。 您必须将BIND与AD提供的Kerberos集成起来,才能使其发挥作用,但是您真的应该这样做,因为它会为您提供安全的dynamic更新。
有趣的是,我听到有人用“BIND9”代替微软的DNS来谈论“随机的陌生性”。 我从来没有在这些networking中直接工作过,但是我从那些我尊重他们意见的人那里听到了这个消息。 我猜想,微软的DNS实现可能会比BIND9“更好地利用AD”发挥作用。 DNS是DNS,但是我怀疑微软是否会像使用自己的DNS服务器一样全面地testingAD。
如果您打算拥有如您所build议的统一DNS基础结构,我强烈build议使用“视图”将访问_msdcs.domain.suffix区域限制到域成员计算机所在的networking。 让互联网看到有关您的域控制器计算机,站点等的任何信息是没有意义的。攻击者在支持AD的DNS中有很好的信息。
如果我正确地读了你的话,这听起来像你可能想要更改Active Directory域的现有DNS域名。 如果没有适当谨慎地做出改变,那么这可能是有问题的。 Exchange,DFS,证书服务以及与其他域的信任关系都有分歧。 更深入的信息可从Microsoft获得: http : //download.microsoft.com/download/9/6/5/965e6899-e086-4b3e-8ed6-516ea07ea225/domain-rename-intro.doc这是非常可行的重新命名一个域,但它需要是一个计划和协调的活动。
您的标题提到ISC DHCPD,但您的问题并没有真正解决它。 我不记得ISC DHCPD中存在哪些dynamicDNS更新function,但是您始终可以configuration域成员计算机执行其自己的DNS A和PTRlogging注册,而不是依赖DHCP服务器来执行此操作。 (我一直以为有了DHCP注册Alogging,就像微软的configuration工作一样,是愚蠢的。)Microsoft DHCP服务器没有任何ISC DHCP服务器无法处理的“特殊”选项没有协议的专有扩展等)。 我已经支持Windows域成员客户端计算机与各种DHCP服务器(ISC,embedded在思科设备,Windows)没有不良影响。