我想删除 Windows 域控制器的 DNS 功能并将 DNS 服务器指向我们的 BIND9 服务器。
我知道可以设置共存,但这需要与网络中域控制器的数量相等的额外 Windows DNS 服务器数量。
Active Directory 需要 _msdcs 区域和其他内容,例如 _tcp、_udp 等。
主要问题是:如何让 BIND9 处理所有这些 AD 特定数据?并通过动态更新使 AD 更加顺畅。
谢谢,
PS:让 BIND9 指向 Windows DNS 服务器来解析 Active Directory 特定区域不是一个选项。我们已经这样做了...
编辑:今天,我运行的系统没有 Windows DNS。我正在编写有关如何执行此操作的指南,并将更新此主题。
答案1
我可以在 AD 网络中完全删除 Windows DNS 而使用 BIND9 吗?
是的。正如 joeqwerty 指出的那样只要 DNS 服务器满足支持 Active Directory 的 DNS 要求,您就可以将其用作 AD DNS。
(BIND 就是这样的,微软甚至提供了 Joe 链接到的指南,你可以在 Google 上找到大量文章。
但这不是你应该问的问题,您应该问的问题是:
应该我是否应该在 AD 网络中完全删除 Windows DNS 而改用 BIND9?
我个人认为答案是绝对不除非你喜欢痛苦。AD
和 Windows DNS 相互交织 - 你当然可以将它们分开,但这样做并不愉快,并且可能会在以后产生问题。
如果您的目标是不暴露您的 Windows DNS 服务器(出于某些安全原因,为了最小化服务器负载等),更好的选择是让您的 BIND DNS 服务器成为从属服务器,复制 AD DNS 区域。
这样可以隐藏 Windows 服务器,防止窥探(和过度负载),但仍允许 Active Directory 与它所了解和喜欢的 Windows DNS 服务器通信。
如果您采用这种方式,您甚至可以最小化 Windows DNS 服务器的数量,因为与之通信的唯一应该是 Active Directory/DC(进行更新)和获取这些更新以提供给其他系统的 BIND 服务器。
答案2
“我想删除 Windows 域控制器的 DNS 功能” - 这是不正确的。DC 角色和 DNS 角色是两个独立的角色。它们通常安装在同一台机器上,但这不是必需的。
“我知道可以设置共存,但这需要额外的 Windows DNS 服务器数量,数量等于网络中域控制器的数量。” - 这也是不正确的。您不需要与域控制器数量匹配的 DNS 服务器数量。
您可以使用非 Microsoft DNS 服务器,只要它满足支持 AD 的 DNS 要求即可。如果 Bind9 满足这些要求,那么您可以放心使用它。