我们目前运行两个 DNS 系统。Windows 域将 Windows DNS 用于内部域。我们的 BIND9 安装服务于我们的公共域 DNS。因为我们在 Unix 上运行 BIND,所以它被称为“Unix DNS”。我们所有的 Unix/Linux 系统都有我们公共域的 FQDN。加入域的所有 Windows 系统都有我们内部网络的 FQDN,但如果需要从 Internet 访问它们,它们的 hostname.publicdomain.edu 也有一个 BIND 条目。
当我们将域迁移到 Windows 2008 R2 时,我们希望整合我们的 DNS 系统。目标是使用 BIND 来做所有事情。我知道这是可能的,但来自微软的细节有点稀缺。我们希望放弃或尽量减少使用或依赖 Windows DNS 和 DHCP。我们还想考虑移动到单个域空间,而不是让我们的 BIND 安装托管我们的 Windows 系统当前正在处理的单独区域。
我已经对此进行了大量研究,并且有足够的信息来推进测试环境,但我正在寻找其他已经这样做或类似的人。
优点?缺点?明白了吗?
我以前没有这样做过,但是结合 Microsoft 的文档和与客户的交谈,我知道使用 BIND9 支持 AD 是可行的。
AD 需要 SRV RR。BIND9 可以毫无问题地做到这一点。如果 AD 没有能力解决它想要注册的各种 SRV RR,就会发生很多令人讨厌的事情。复制中断,知识一致性检查器(构建站点内复制拓扑)中断,来自客户端的登录中断。域的“A”记录解析到域中的所有域控制器,默认情况下,客户端计算机上的 DFS 使用它来解析域“SYSVOL”位置并获取 DFS 引用到最近的文件,所以它需要存在,否则组策略将无法正常工作。
动态 DNS 是首选,因为 AD 域控制器想要注册相当数量的记录(SRV RR、站点等)。动态 DN 不是必需的,但您必须在添加新 DC 或删除旧 DC 时手动更新区域。BIND 9.5.0 支持 GSS-TSIG,Microsoft 客户端使用它来执行动态更新。您必须将 BIND 与 AD 提供的 Kerberos 集成才能使其正常工作,但您确实应该这样做,因为它将为您提供安全的动态更新。
有趣的是,我听说人们谈论使用 BIND9 而不是 Microsoft DNS 的“随机陌生性”。我从未直接在其中一个网络中工作过,但我从那些我尊重他们意见的人那里听说过。我猜想微软 DNS 实现中可能存在一些轻微的人工制品,与 BIND9 相比,它在 AD 上的“播放”效果更好。DNS 就是 DNS,但我怀疑 Microsoft 是否像使用自己的 DNS 服务器那样全面地使用 BIND9 测试 AD。
如果您要像您建议的那样拥有这样一个统一的 DNS 基础架构,我强烈建议您使用“视图”来限制对 _msdcs.domain.suffix 区域的访问,以限制域成员计算机所在的网络。让 Internet 看到有关您的域控制器计算机、站点等的任何信息是没有意义的。对于攻击者来说,在支持 AD 的 DNS 中有很好的信息。
如果我没看错的话,听起来您可能还想更改 Active Directory 域的现有 DNS 域名。如果不小心进行更改,可能会出现问题。Exchange、DFS、证书服务以及与其他域的信任关系会产生影响。更深入的信息可从 Microsoft 获得: http : //download.microsoft.com/download/9/6/5/965e6899-e086-4b3e-8ed6-516ea07ea225/domain-rename-intro.doc重命名域,但它必须是有计划和协调的活动。
您的标题提到了 ISC DHCPD,但您的问题并没有真正解决它。我不记得 ISC DHCPD 中存在哪些动态 DNS 更新功能,但您始终可以将域成员计算机配置为执行自己的 DNS A 和 PTR 记录注册,而不是依赖 DHCP 服务器来完成。(我一直认为拥有 DHCP 注册 A 记录,因为微软的股票配置有效,有点傻。)微软 DHCP 服务器没有提供 ISC DHCP 服务器无法处理的“特殊”选项(没有对协议的专有扩展等)。我已经支持具有各种 DHCP 服务器(ISC、嵌入在 Cisco 设备中、Windows)的 Windows 域成员客户端计算机,并且没有任何不良影响。