it-swarm-ko.tech

BIND와 Microsoft DNS가 함께 잘 작동하도록하려면 어떻게해야합니까?

작업하기가 더 쉽기 때문에 회사 DNS 구성의 대부분을 BIND로 이동하고 싶지만 Active Directory가 있으면 Microsoft DNS에 최소한 도메인 영역이 있어야합니다.

MSDNS에 도메인의 영역 (예 : company.local)이 있지만 동일한 컴퓨터에 대한 정방향 및 역방향 영역이있는 BIND (예 : company.org)에 다른 영역이있을 수 있습니다. DHCP 서버는 BIND를 1 차 및 2 차 DNS로 할당 할 수 있으며, 우리는 일상적인 용도로만 해당 영역을 사용합니다. BIND에서 도메인 영역에 대한 슬레이브 영역을 만들 수도 있습니다. 모든 명시 적 DNS 작업을 BIND로 이동하지만 AD가 작동 할 수 있도록 BIND를 통해 도메인 영역을 사용할 수 있도록 유지합니다.

누구든지 이것을하고 성공 했습니까? 아니면 매우 나쁜 생각입니까? :)

7
Cawflands

우리는 이것을합니다. 추천 할 수 있을지 모르겠지만 권장합니다.

BIND를 실행하는 Solaris 서버

  • example.ad를 제외한 모든 정방향 도메인에 대해 신뢰할 수있는 실행
  • aD DHCP에서 제공하는 영역을 제외한 모든 in-addr.arpa 영역에 대해 권한을 실행합니다.
  • aD DNS 서버에서 example.ad 및 DHCP 범위에 대한 슬레이브를 가져옵니다.

bIND를 실행하는 Linux 서버

  • aD DNS 서버에서 example.ad 및 DHCP 범위에 대한 슬레이브를 가져옵니다.
  • solaris primary에서 다른 모든 것에 대한 노예를 가져옵니다.

AD DNS 서버

  • example.ad에 대한 마스터 실행
  • aD DHCP에서 제공하는 모든 in-addr.arpa 영역에 대해 마스터를 실행합니다.
  • 모든 재귀 요청을 solaris/linux BIND 설치에 전달합니다.

Windows 클라이언트

  • AD DHCP로 AD DNS 서버를 할당했습니다. 이를 실험 한 결과 우리가 사용한 "Microsoft 제품군"은 AD DNS 서버가없는 것을 좋아하지 않는다는 것을 발견했습니다. 우리는 일찍 포기했을지 모르지만 내가 기억하는 것과는 잘되지 않았습니다.

UNIX/Linux/운영 클라이언트 :

  • 하드 코딩 된 BIND DNS 서버

실제로 다음은 우리가 제정 한 몇 가지 정책입니다.

  • iT 클래스 서비스 (교환 등)를 참조하는 모든 레코드는 example.ad에서 A 레코드를 가져오고 example.com의 record.example.ad에 대한 CNAME을 가져옵니다.
  • 운영 또는 네트워크 장비를 참조하는 모든 레코드는 example.com의 A 레코드와 example.ad의 CNAME을받습니다.

우리의 설정은 실제로 DNS/DHCP에 Netware/AD를 사용하는 회사를 구입했기 때문에 그보다 약간 더 복잡합니다. 따라서 유사한 규칙 세트가 있습니다.

나는 당신의 손이 강요되지 않으면 이것을 권장하지 않을 것입니다. 우리의 설치는 나쁜 상황을 최대한 활용하려는 시도입니다. 그러나 나는 AD DNS보다 BIND를 훨씬 더 사용하는 것을 좋아한다는 것을 인정해야합니다. 그래서 우리는 분명히 AD를 제거하지 않을 것이기 때문에 some 사용하는 것이 좋은 방법입니다. 묶다.

한 가지 문제는 AD DNS 서버에서 캐싱하는 것입니다. 운영 고객에게 랩톱이 AD DNS를 사용하지만 변경 사항은 BIND에서 이루어 지도록 교육하기 위해 노력했습니다. 따라서 변경 사항을 확인하고 싶다면 올바른 서버를 수동으로 찾아야합니다. 성가신 일이지만 의외로 자주 나오는 문제입니다.

도움이되기를 바랍니다.

6
jj33

나는 전에 이것을 해왔고, 내가했던 것을 기억에서 재구성하려고 노력할 것입니다.

그 상황:

Win2K 도메인 컨트롤러, 다양한 Windows 데스크톱, AD 환경. DNS 서버는 작동이 중지되기 때문에 며칠마다 다시 시작해야합니다.

해결책:

작은 인트라넷 사이트를 실행하는 네트워크에 Linux 박스가있어서 그 박스에 BIND를 떨어 뜨 렸습니다. BIND를 영역에 슬레이브로 설정하고 도메인 전송을 전송하도록 Win2K 상자를 구성했습니다. 그런 다음 Win2K 상자에 DHCP 서버를 구성하여 BIND 상자를 주 DNS 서버로, Win2K 상자를 보조 DNS 서버로 제공했습니다. 이제 Win2K 상자의 DNS 테이블에 대한 모든 업데이트 (모든 DHCP 인 클라이언트 상자 포함)가 BIND 서버에 게시되고 모든 것이 훌륭하게 작동했습니다. Win2K DNS 서버를 다시 시작할 필요가 없습니다.

3
Harper Shelby

주요 문제는 도메인 컨트롤러의 A 레코드, PTR 레코드 및 domain.com 레코드 자체에 대해 수행하는 Active Directory 동적 DNS 업데이트와 밑줄이있는 영역 _msdcs.domain.com, _sites.domain.com입니다. , _tcp.domain.com, _udp.domain.com.

BIND 버전이 이러한 동적 업데이트를 지원할 수있는 경우 BIND를 사용할 수 있습니다.

그렇지 않은 경우 밑줄 영역에 MS-DNS를 사용해야하지만 A, PTR 및 domain.com 레코드를 직접 코딩하고 DC를 추가/제거 할 때 유지 관리 할 수 ​​있습니다. MS-DNS를 밑줄 영역에 대한 권한으로 만들고 클라이언트가 찾을 수 있도록 영역을 BIND로 전송/전달합니다.

또는 corp.domain.com, Host that all in MS-DNS, Transfer/forward to BIND와 같이 AD에 대해 완전히 다른 도메인을 사용합니다 (가능한 경우).

또한 Windows 클라이언트 컴퓨터는 A/PTR 레코드를 동적으로 생성하기를 원하므로 BIND 자체가이를 수행하거나 허용하거나 전체 영역에 대해 MS-DNS를 다시 사용해야합니다.

2
James Risto

우리는 예전 회사에서 정확히 이렇게했습니다.

company.com는 BIND에서 유지 관리 한 공식 도메인입니다.

company.net는 AD 도메인 이름이었습니다. AD는 해당 영역에서 원하는 모든 작업을 수행 할 수 있습니다.

이것은 우리를 위해 일을 멋지게 분리하고 훌륭하게 작동했습니다.

1
MikeyB

Bind와 MSDNS의 혼합은 상당히 잘 문서화되어 있으며 빠른 검색이 http://support.Microsoft.com/kb/25591 있지만 아마도 더 많은 것이있을 것입니다.

원하는 것을 결정해야합니다 .. 이전 회사에서는 _ {msdcs, sites, tcp, udp}와 데스크톱이있는 하위 도메인을 제외한 모든 항목에 대해 bind를 설정하여 보안 동적 업데이트를 수행 할 수 있도록했습니다. 그냥 작동합니다. (DHCP는 Unix에있었습니다.)

두 가지를 섞으면 깨끗하고 최신 상태로 유지하기위한 추가 작업이 필요하지만 세상의 끝은 아닙니다.

1
Toto