我们目前运行两个 DNS 系统。Windows 域使用 Windows DNS 作为内部域。我们的 BIND9 安装为我们的公共域 DNS 提供服务。由于我们在 Unix 上运行 BIND,因此它被称为“Unix DNS”。我们所有的 Unix/Linux 系统都有我们公共域的 FQDN。加入域的所有 Windows 系统都有我们内部网络的 FQDN,但如果需要从 Internet 访问它们,它们也会有一个 BIND 条目,即 hostname.publicdomain.edu。
当我们将域迁移到 Windows 2008 R2 时,我们希望整合 DNS 系统。目标是使用 BIND 来完成所有工作。我知道这是可能的,但微软提供的详细信息有点少。我们希望放弃或尽量减少使用或依赖 Windows DNS 和 DHCP。我们还想考虑迁移到单个域空间,而不仅仅是让我们的 BIND 安装托管 Windows 系统当前正在处理的单独区域。
我已经对此进行了大量的研究,并且有足够的信息来推进测试环境,但我正在寻找已经做过这件事或类似事情的其他人。
优点?缺点?有什么问题吗?
答案1
我以前没有这样做过,但从微软的文档和与客户的交谈中我知道使用 BIND9 支持 AD 是可行的。
AD 需要 SRV RR。BIND9 可以毫无问题地做到这一点。如果 AD 无法解析它想要注册的各种 SRV RR,就会发生很多糟糕的事情。复制中断、知识一致性检查器(用于构建站点内复制拓扑)中断以及客户端登录中断。域的“A”记录(默认解析为域中的所有域控制器)由客户端计算机上的 DFS 用来解析域“SYSVOL”位置并获取对文件最近副本的 DFS 引用,因此它必须存在,否则组策略将无法正常工作。
动态 DNS 是首选,因为 AD 域控制器需要注册相当数量的记录(SRV RR、站点等)。动态 DN 不是必需的,但当添加新的 DC 或删除旧的 DC 时,您必须手动更新区域。BIND 9.5.0 支持 GSS-TSIG,Microsoft 客户端使用它来执行动态更新。您必须将 BIND 与 AD 提供的 Kerberos 集成才能使其工作,但您确实应该这样做,因为它将为您提供安全的动态更新。
有趣的是,我曾听人谈论使用 BIND9 而不是 Microsoft DNS 的“随机怪异”。我从未直接在这些网络中工作过,但我从我尊重其意见的人那里听说过这种事。我猜想 Microsoft DNS 实现中可能存在一些轻微的瑕疵,它们与 AD 的配合比 BIND9 更好。DNS 就是 DNS,但我怀疑 Microsoft 是否像测试自己的 DNS 服务器那样全面地测试 AD 与 BIND9。
如果您要拥有如您所建议的统一 DNS 基础架构,我强烈建议使用“视图”将对 _msdcs.domain.suffix 区域的访问限制在域成员计算机所在的网络。让 Internet 查看有关您的域控制器计算机、站点等的任何信息是没有意义的。对于攻击者来说,支持 AD 的 DNS 中有很多有用的信息。
如果我没看错,你可能还想更改 Active Directory 域的现有 DNS 域名。如果不小心更改,可能会出现问题。这会对 Exchange、DFS、证书服务以及与其他域的信任关系产生影响。Microsoft 提供了更多详细信息,网址为:http://download.microsoft.com/download/9/6/5/965e6899-e086-4b3e-8ed6-516ea07ea225/domain-rename-intro.doc 重命名域名非常可行,但它需要有计划和协调的活动。
您的标题提到了 ISC DHCPD,但您的问题并没有真正解决它。我不记得 ISC DHCPD 中存在什么动态 DNS 更新功能,但您始终可以配置域成员计算机以执行自己的 DNS A 和 PTR 记录注册,而不是依赖 DHCP 服务器来执行此操作。(我一直认为让 DHCP 注册 A 记录(就像 Microsoft 的常规配置一样)有点愚蠢。)Microsoft DHCP 服务器没有提供 ISC DHCP 服务器无法处理的“特殊”选项(没有对协议的专有扩展等)。我使用各种 DHCP 服务器(ISC、嵌入 Cisco 设备、Windows)支持 Windows 域成员客户端计算机,没有任何不良影响。