我可以在 AD 网络中完全删除 Windows DNS 而使用 BIND9 吗?

我可以在 AD 网络中完全删除 Windows DNS 而使用 BIND9 吗?

我想删除 Windows 域控制器的 DNS 功能并将 DNS 服务器指向我们的 BIND9 服务器。

我知道可以设置共存,但这需要与网络中域控制器的数量相等的额外 Windows DNS 服务器数量。

Active Directory 需要 _msdcs 区域和其他内容,例如 _tcp、_udp 等。

主要问题是:如何让 BIND9 处理所有这些 AD 特定数据?并通过动态更新使 AD 更加顺畅。

谢谢,

PS:让 BIND9 指向 Windows DNS 服务器来解析 Active Directory 特定区域不是一个选项。我们已经这样做了...

编辑:今天,我运行的系统没有 Windows DNS。我正在编写有关如何执行此操作的指南,并将更新此主题。

答案1

我可以在 AD 网络中完全删除 Windows DNS 而使用 BIND9 吗?

是的。正如 joeqwerty 指出的那样只要 DNS 服务器满足支持 Active Directory 的 DNS 要求,您就可以将其用作 AD DNS。
(BIND 就是这样的,微软甚至提供了 Joe 链接到的指南,你可以在 Google 上找到大量文章。

但这不是你应该问的问题,您应该问的问题是:

应该我是否应该在 AD 网络中完全删除 Windows DNS 而改用 BIND9?

我个人认为答案是绝对不除非你喜欢痛苦。AD
和 Windows DNS 相互交织 - 你当然可以将它们分开,但这样做并不愉快,并且可能会在以后产生问题。

如果您的目标是不暴露您的 Windows DNS 服务器(出于某些安全原因,为了最小化服务器负载等),更好的选择是让您的 BIND DNS 服务器成为从属服务器,复制 AD DNS 区域。
这样可以隐藏 Windows 服务器,防止窥探(和过度负载),但仍允许 Active Directory 与它所了解和喜欢的 Windows DNS 服务器通信。
如果您采用这种方式,您甚至可以最小化 Windows DNS 服务器的数量,因为与之通信的唯一应该是 Active Directory/DC(进行更新)和获取这些更新以提供给其他系统的 BIND 服务器。

答案2

  1. “我想删除 Windows 域控制器的 DNS 功能” - 这是不正确的。DC 角色和 DNS 角色是两个独立的角色。它们通常安装在同一台机器上,但这不是必需的。

  2. “我知道可以设置共存,但这需要额外的 Windows DNS 服务器数量,数量等于网络中域控制器的数量。” - 这也是不正确的。您不需要与域控制器数量匹配的 DNS 服务器数量。

  3. 您可以使用非 Microsoft DNS 服务器,只要它满足支持 AD 的 DNS 要求即可。如果 Bind9 满足这些要求,那么您可以放心使用它。

相关内容