我有 Windows 和 Linux 客户端,我想为它们提供 Active Directory 身份验证,但保留 Linux 服务器上的 DHCP 和 DNS。这可能吗?我在管理方面经验很少,我有点不知道如何实现这一点,以便让它们协同工作。
最好的方法是什么?我可以自由选择 Linux 发行版和 Windows 服务器版本,只要它是 2003 或更新版本即可
答案1
我有 Windows 和 Linux 客户端,我想为它们提供 Active Directory 身份验证,但将 DHCP 和 DNS 保留在 Linux 服务器上。这可能吗?
使用 Linux 服务器进行 AD DNS 确实是一件很麻烦的事,因为 AD 和 DNS 集成得非常紧密。您可以这样做,但希望您能获得支持。我建议将所有客户端和服务器指向 AD DNS 服务器进行 DNS,并在 AD DNS 服务器上放置一个全局转发器,以指向托管其余基础架构的 Linux 服务器。只要您的 AD 命名空间不与现有命名空间重叠(不应该重叠),这就可以正常工作。
我可以自由选择 Linux 发行版和 Windows 服务器版本,只要它早于 2003
嗯。如果我是你,我根本不会用这个限制来做这件事。这只会让你使用 Windows 2000,它无法安装在大多数现代硬件上(没有驱动程序等)。这也是生命的终结,意味着没有任何形式的补丁。
答案2
您将遇到的主要问题是让 ActiveDirectory 对 DNS 感到满意,因为 AD 使用 DNS 作为其服务定位协议(通过 SRV 记录类型)。但是,在大型 Microsoft 环境中使用 Linux DNS 和 DHCP(即 BIND DNS 服务器和标准 dhcpd 守护程序)相当容易支持,并且有许多大型 Microsoft 客户坚持使用 Unix 服务进行 DNS 和 DHCP。
对于 DHCP,您需要确保传递环境中所需的所有选项。由于选项千差万别,我将让您自行决定,尽管有一篇不错的 Microsoft Technet 文章可以为您提供基础知识(http://technet.microsoft.com/en-us/library/cc958929.aspx)。只需确保您已将 dhcpd 配置为提供适合您环境的上述参数(并且可以在以下位置找到不错的 dhcpd 教程https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/s1-dhcp-configuring-server.html)
DNS 是更重要的部分。组织中的所有服务器都应具有适当的正向(A 记录)和反向(in-addr.arpa 记录)查找条目。此外,每台 Windows 服务器都需要多个服务(SRV)条目,以便让客户端知道可以在该服务器上找到哪些服务。您可以通过两种方式创建服务器条目。第一种方法是自己手动创建,您可以通过谷歌搜索“Active Directory BIND DNS”找到关于此内容的相当不错的讨论(例如http://technet.microsoft.com/en-us/library/dd316373.aspx和http://itsjustanotherlayer.com/2009/11/running-20008-active-directory-with-bind/是排名前两位的搜索词)。
但是,我推荐另一种方法。在设置 Windows 服务器之前,我会赋予它们的 IP 地址写入和更新 Linux BIND DNS 服务器条目的权限。然后,在设置(或刷新)Windows 服务器时,请确保在高级网络控制面板下指定域后缀并选中让服务器尝试更新其条目的复选框。此后,服务器将尝试为其上配置的任何服务在 DNS 中创建自己的条目。理论上这是一个安全漏洞,因为您让可能受到攻击的服务器写入任意 DNS 记录。然而,在实践中,我们发现它使 AD 的维护变得简单得多。
您可能还想设置动态 DNS (DDNS),它允许 dhcp 服务器将客户端主机名传递给 DNS 服务器,以将其添加为正向和反向条目。有关此内容的一个很好的教程可以在以下网址找到http://www.semicomplete.com/articles/dynamic-dns-with-dhcp/
一旦您理解了所使用的 DNS 和 DHCP 概念,通过 Linux DNS 和 DHCP 配置 AD 就不难,而且易于维护。但总的来说,我希望微软不要将服务发现强行塞入 DNS,而是使用像 SLP 这样的实际服务协议。