行业标准 DNS 和身份验证？

Question 1

最常见的方法是使用 BIND 作为 DNS，然后使用 OpenLDAP 或 389 Directory Server 进行身份验证。Linux 与 Windows 有很大不同，因为 Linux 拥有庞大的生态系统，并且根据您使用的 Linux 版本，不同的产品可能更适合。例如，在 SUSE 环境中，将使用 eDirectory 而不是 Directory Server。

对于需要在 DNS 发生故障时保持正常运行的服务，使用 /etc/hosts 是很常见的。例如，Red Hat Cluster Suite 建议您将所有节点的 IP 地址添加到 /etc/hosts（它甚至可能需要这样做，我不确定）。我相信您已经意识到，这种方法不适用于您的内部 DNS，并且存在许多维护问题。

Windows DNS + AD 在已经拥有域控制器基础设施（通常用于台式机）的环境中很常见。我曾在多个不同的政府和企业环境中工作过，根据我的经验，这种设置很常见。如果您正在利用域控制器并执行所有 Windows 魔法操作，那么这很有意义 - 如果您没有这样做并且更喜欢亲自管理或降低成本，那么 Linux 是最佳选择。

Linux 在较便宜的硬件上通常比 Windows 性能更好，而且扩展性更好，大型互联网站点运行 BIND 或 Directory Server，但它们需要经验丰富的管理员来配置它们。技术本身并不更安全/稳定/可扩展 - 关键在于如何配置它们。这两种方法都有优点和缺点。

Google 和 Facebook 所做的事情与你完全不同，规模也完全不同，要求、预算等也不同。最好从在小环境中成功做到这一点的人那里获得建议。

Answer

最常见的方法是使用 BIND 作为 DNS，然后使用 OpenLDAP 或 389 Directory Server 进行身份验证。Linux 与 Windows 有很大不同，因为 Linux 拥有庞大的生态系统，并且根据您使用的 Linux 版本，不同的产品可能更适合。例如，在 SUSE 环境中，将使用 eDirectory 而不是 Directory Server。

对于需要在 DNS 发生故障时保持正常运行的服务，使用 /etc/hosts 是很常见的。例如，Red Hat Cluster Suite 建议您将所有节点的 IP 地址添加到 /etc/hosts（它甚至可能需要这样做，我不确定）。我相信您已经意识到，这种方法不适用于您的内部 DNS，并且存在许多维护问题。

Windows DNS + AD 在已经拥有域控制器基础设施（通常用于台式机）的环境中很常见。我曾在多个不同的政府和企业环境中工作过，根据我的经验，这种设置很常见。如果您正在利用域控制器并执行所有 Windows 魔法操作，那么这很有意义 - 如果您没有这样做并且更喜欢亲自管理或降低成本，那么 Linux 是最佳选择。

Linux 在较便宜的硬件上通常比 Windows 性能更好，而且扩展性更好，大型互联网站点运行 BIND 或 Directory Server，但它们需要经验丰富的管理员来配置它们。技术本身并不更安全/稳定/可扩展 - 关键在于如何配置它们。这两种方法都有优点和缺点。

Google 和 Facebook 所做的事情与你完全不同，规模也完全不同，要求、预算等也不同。最好从在小环境中成功做到这一点的人那里获得建议。

Question 2

坚持使用 Windows 堆栈（AD、DHCP、DNS）进行身份验证以及 DNS 和 DHCP。“不可扩展/不安全/不稳定”的论点不再站得住脚。

1/ 我假设环境中有 Windows PC。您希望将它们放在域中，并让 PC 用户向域进行身份验证。

2/ DNS 和 DHCP 与最新版本的 AD 紧密集成。

3/ Windows DNS 和 DHCP 非常简单直接，并且它们可以相互通信。

4/ 它无处不在。学习它将有助于你的职业生涯，使用它可以让公司在需要时轻松找到其他人来管理它。

回答您的具体问题：

使用 Windows 的用户通常使用 AD 进行身份验证。它随 Windows Server 一起提供，无需额外付费。
少数（受虐狂）人使用主机文件和仅本地配置文件。我会逃离这样的环境，或者修复它。
我怀疑 Google 编写了自己的身份验证引擎，而 Facebook 使用自定义的 LDAP 变体进行 Web 身份验证。但我敢打赌，这两家公司的办公室里都有 Windows 域。

Answer