我正在尝试设置一个使用 Linux BIND 服务器进行 DNS 的 Active Directory 林。目标是域控制器 (DC) 能够从 Linux 服务器在 /etc/bind/db.foresta.net 文件中进行输入。
以下是我当前的设置和规格的图表:
WinServer DC:dc.ntds.foresta.net Linux DNS:sysdns.foresta.net
我当前的Linux服务器配置:http://pastebin.com/nz5GQcGY
在 DC 上,我设置了一个新的 AD 林,并在 IP 配置中将 Linux 服务器的 IP 设置为 DNS。但现在的问题是,我在上面描述的文件 (db.foresta.net) 中看不到任何新条目,我不知道需要采取哪些进一步的步骤才能使其正常工作。
目前为止的工作情况:在 Windows Server 中,我可以打开浏览器并使用该 Linux DNS 服务器浏览任何网站。
我们非常感谢您的每一条反馈。
答案1
我理解您的问题的方式是,您正在尝试完全避免让 AD 域控制器托管 DNS。这是一个完全有效的配置。
你基本上有两个选择。
- 配置 BIND 以允许 DC 执行动态更新
- 在 DC 升级后,手动将 DC 的 DNS 条目填充到 BIND 中
选项 1 是最常见的。为此,您可以配置 BIND 的方式范围从简单的 IP 白名单到更复杂的特立尼达和多巴哥共和国设置。但一旦完成,您就万事大吉了。有很多关于为 DDNS 配置 BIND 的指南。如果您需要这方面的特定帮助,您可能需要创建一个单独的问题。
选项 2 在 BIND 配置方面“更简单”,但在升级 DC 时需要做更多工作。升级后,会在 DC 上创建一个文件,其中包含您需要为该 DC 添加的所有 BIND 条目。 %SYSTEMROOT%\system32\config\netlogon.dns 您真正需要做的就是手动将这些条目添加到您的 BIND 服务器。但是,您还需要在进行 AD 拓扑或 FSMO 角色更改(添加/删除站点、添加/删除域等)时更新这些条目。
答案2
我处理过的两种主要策略是委派和转发。
通过委派,您可以将 BIND 配置为 AD 服务器的从属服务器,从而将查询负载转移到 BIND 服务器。只要 AD 仍然是 SOA(ala ADI),那么任何动态更新仍将发送到 AD 框。您仍然可以在 BIND 服务器上配置其他区域,但是您可能会遇到一些多视图问题,我过去已通过向 AD 框添加条件转发器解决了这些问题。
通过转发,您可以将 BIND 服务器配置为将请求转发到 AD 框,从而允许您将客户端指向 BIND 框,以便它们可以对非 AD 请求进行获取和缓存,但这对减轻 AD 框的任何客户端负载几乎没有作用。
这取决于您的目标和资源,以及哪种方式更适合您的环境。维护区域的单一真实来源非常重要。在 ADI 区域前运行 BIND 时,由于各种 AD 框如何保存其 SOA 记录和序列号,这更加困难,但如果您只运行一个 ADC,那么这根本不是问题。