¿Puedo eliminar completamente el DNS de Windows a favor de BIND9 en una red AD?

11

Me gustaría eliminar la función DNS de los controladores de dominio de Windows y señalar los servidores DNS a nuestros servidores BIND9.

Sé que es posible configurar la coexistencia, pero esto requiere una cantidad adicional de servidores DNS de Windows equivalentes a la cantidad de controladores de dominio en la red.

Active Directory espera la zona _msdcs y otras cosas como _tcp, _udp; etc.

La pregunta principal es: ¿cómo hacer que BIND9 se encargue de todos estos datos específicos de AD? Y con una actualización dinámica para hacer que AD sea aún más feliz.

Gracias,

PD: Hacer que BIND9 apunte a los servidores DNS de Windows para resolver las zonas específicas de Active Directory no es una opción. Ya hacemos esto ...

EDITAR: como hoy, estoy corriendo sin DNS de Windows. Estoy escribiendo una guía sobre cómo hacer esto, y actualizaré este tema.

Vinícius Ferrão
fuente
2
De Ron Aitchison, autor de Pro DNS y BIND, "... tendrías que estar drogado para ejecutar un dominio AD en BIND". Citaré eso con un número de página cuando llegue a casa del trabajo.
Bigbio2002

Respuestas:

9

¿Puedo eliminar completamente el DNS de Windows a favor de BIND9 en una red AD?

Si. Como señaló joeqwerty, siempre que un servidor DNS cumpla con los requisitos de DNS en soporte de Active Directory, puede usarlo como su AD DNS.
(BIND lo hace, Microsoft incluso proporciona orientación a la que Joe se vinculó , y puede encontrar un montón de artículos en Google.

Sin embargo , esa no es la pregunta que debería hacerse . La pregunta que debería hacerse es:

¿DEBO eliminar completamente el DNS de Windows a favor de BIND9 en una red AD?

En mi opinión personal, la respuesta es ABSOLUTAMENTE NO a menos que te guste el dolor.
AD y Windows DNS están entrelazados: ciertamente puede separarlos, pero hacerlo no será agradable y puede crear problemas más adelante.

Si su objetivo es no exponer sus servidores DNS de Windows (por alguna razón de seguridad, para minimizar la carga del servidor, etc.), una mejor opción es hacer que sus servidores DNS BIND sean esclavos, replicando la (s) zona (s) DNS de AD.
Esto oculta los servidores de Windows de miradas indiscretas (y una carga excesiva), pero aún permite que Active Directory hable con los servidores DNS de Windows que conoce y ama.
Incluso puede minimizar la cantidad de servidores DNS de Windows si sigue esta ruta, ya que lo único que debe hablar con él debe ser Active Directory / DC (hacer actualizaciones) y los servidores BIND que obtienen esas actualizaciones para servir a otros sistemas).

voretaq7
fuente
9
  1. "Me gustaría eliminar la función DNS de los controladores de dominio de Windows" - Esto es incorrecto. El rol DC y el rol DNS son dos roles separados. A menudo se instalan en la misma máquina, pero esto no es un requisito.

  2. "Sé que es posible configurar la coexistencia, pero esto requiere una cantidad adicional de servidores DNS de Windows equivalentes a la cantidad de controladores de dominio en la red". - Esto es también incorrecto. No necesita un número coincidente de servidores DNS con controladores de dominio.

  3. Puede usar un servidor DNS que no sea de Microsoft siempre que cumpla con los requisitos de DNS en soporte de AD. Si Bind9 cumple con esos requisitos, puede usarlo.

joeqwerty
fuente
La documentación de Microsoft dice que usar un servidor DNS por DC es una buena práctica. Pero puedo entender que mis premisas están equivocadas. No hay problema, pero no se presentó la solución real para el problema. Estoy haciendo algunas pruebas por mi cuenta en este momento, tratando de resolver esto.
Vinícius Ferrão
2
En realidad no ha declarado un problema en su pregunta. Usted preguntó si BIND9 se puede utilizar como servidor DNS para AD y le respondí que si cumple con los requisitos para admitir AD. Este artículo implica que sí: technet.microsoft.com/en-us/library/dd316373.aspx
joeqwerty
Hm, pensé que la pregunta principal era clara: "¿Cómo hacer que BIND9 se ocupe de todos estos datos específicos de AD? Y con una actualización dinámica para hacer que AD sea aún más feliz". Lo siento si no pude expresarme ... He progresado un poco, pero no puedo actualizar el servidor DNS con el nombre de una máquina unida en el dominio; alguna idea de Joe? Recibí este error en BIND9: "13 de mayo 16:20:34 debian llamado [5994]: cliente 172.16.144.107 # 60932: actualización 'dominio.com/IN' denegado" Pero dar permiso a todas las direcciones IP no era viable opción.
Vinícius Ferrão
¿Hay una configuración en BIND DNS para permitir actualizaciones no seguras? Si es así, eso es probablemente lo que necesita habilitar.
joeqwerty
2
@ ViníciusFerrão Debe configurar BIND correctamente para admitir actualizaciones dinámicas desde su servidor AD. Consulte la documentación de BIND. Honestamente, no recomendaría esto: si tiene una red Microsoft / AD, debe usar el servidor DNS de Microsoft y las zonas integradas de AD (posiblemente haciendo que sus servidores BIND sean esclavos de la zona AD). Solo estás creando problemas para ti mismo tratando de improvisar esto juntos.
voretaq7