ADネットワークでBIND9を優先してWindowsDNSを完全に削除できますか?
WindowsドメインコントローラーのDNS機能を削除し、DNSサーバーがBIND9サーバーを指すようにします。
共存を設定することは可能ですが、これには、ネットワーク内のドメインコントローラーの数と同じ数の追加のWindowsDNSサーバーが必要です。
Active Directoryは、_msdcsゾーンおよび_tcp、_udpなどの他のものを想定しています。等.
主な質問は、BIND9にこのAD固有のデータをすべて処理させる方法です。そして、ADをさらに幸せにするための動的更新を備えています。
ありがとう、
PS:ActiveDirectory固有のゾーンを解決するためにBIND9がWindowsDNSサーバーを指すようにすることはオプションではありません。私たちはすでにこれを行っています...
編集:今日のように、私はWindowsDNSなしで実行しています。これを行う方法についてのガイドを書いているので、このトピックを更新します。
ADネットワークでBIND9を優先してWindowsDNSを完全に削除できますか?
はい。 joeqwertyが指摘したように DNSサーバーがActiveDirectoryをサポートするDNSの要件を満たしている限り、ADDNSとして使用できます。
(BINDはそうです、 MicrosoftはJoeがリンクしたガイダンスも提供しています そしてあなたはGoogleでたくさんの記事を見つけることができます。
それはあなたが尋ねるべき質問ではありません、あなたが尋ねるべき質問は:
[〜#〜] should [〜#〜]私はWindowsDNSを完全に削除してADネットワークのBIND9?
私の個人的な意見では、あなたが痛みを好まない限り、答えは絶対にありませんです。
ADとWindowsDNSは絡み合っています-確かにそれらをこじ開けることはできますが、そうすることは快適ではなく、後で問題を引き起こす可能性があります。
Windows DNSサーバーを公開しないことが目標である場合(セキュリティ上の理由、サーバーの負荷を最小限に抑えるなど)、BIND DNSサーバーをスレーブにして、ADDNSゾーンを複製することをお勧めします。
これにより、Windowsサーバーが詮索好きな目(および過度の負荷)から保護されますが、ActiveDirectoryは認識していて愛用しているWindowsDNSサーバーと通信できます。
このルートを使用すると、Windows DNSサーバーの数を最小限に抑えることもできます。これは、WindowsDNSサーバーと通信するのはActiveDirectory/DC(更新を行う)と、それらの更新をフェッチして他のシステムに提供するBINDサーバーのみであるためです。 )。
「WindowsドメインコントローラーのDNS機能を削除したい」-これは正しくありません。 DCロールとDNSロールは2つの別個のロールです。これらは同じマシンにインストールされることがよくありますが、これは必須ではありません。
「共存を設定することは可能ですが、これにはネットワーク内のドメインコントローラーの数と同じ数の追加のWindowsDNSサーバーが必要です。」 -これは間違いです。ドメインコントローラーに一致する数のDNSサーバーは必要ありません。
ADをサポートするDNSの要件を満たしている限り、Microsoft以外のDNSサーバーを使用できます。 Bind9がこれらの要件を満たしている場合は、それを使用することを歓迎します。