有什么方法可以让 Microsoft DHCP 服务器安全地动态更新 Unix Bind DNS 区域中的 A 和 PTR 记录?
Microsoft 支持使用用户名/密码验证进行安全更新。Bind9 支持使用密钥进行安全更新。但我找不到让 Microsoft DHCP 使用密钥的方法,因为可以使用 dhcpd 来实现。
答案1
不,不安全。
您可能能够拥有单个 Microsoft DNS 服务器,然后在该服务器和 BIND 之间进行某种区域传输?
这些链接在这方面可能会有帮助,也可能没有帮助:
答案2
我花了一些时间尝试实现类似的功能。在“allow-update”语句中,BIND 识别两个“Microsoft”更新源:ms-self 和 ms-subdomain。
我的任务是一个临时解决方案,因此我使用了原始 TSIG 密钥,但如果您可以让 GSS-TSIG 与 AD 一起使用,这里有一些有用的链接:
http://www.zytrax.com/books/dns/ch7/xfer.html#update-policy
https://lists.isc.org/pipermail/bind-users/2013-April/090301.html