Linux BIND DNSサーバーをActive Directoryフォレストに使用するにはどうすればよいですか?
Linux BINDサーバーをDNSに使用するActive Directoryフォレストをセットアップしようとしています。目標は、ドメインコントローラ(DC)がLinuxサーバーから/etc/bind/db.foresta.netファイルにエントリを作成できるようにすることです。
これが私の現在の設定と仕様の図です:
WinServer DC:dc.ntds.foresta.net Linux DNS:sysdns.foresta.net
私の現在のLinuxサーバー構成: http://Pastebin.com/nz5GQcGY
DCで新しいADフォレストをセットアップし、IP構成でLinuxサーバーのIPをDNSとして設定しました。しかし、問題は新しいエントリが表示されないことです。上記で説明したファイル(db.foresta.net)にあり、これを機能させるために必要な追加の手順がわかりません。
これまでの動作:Windowsサーバーでブラウザーを開き、そのLinux DNSサーバーを使用して任意のWebサイトを閲覧できます。
すべてのフィードバックに感謝します。
私があなたの質問を読む方法は、あなたがADドメインコントローラーにホストDNSをまったく持たせないようにしているということです。そして、それは完全に有効な構成です。
基本的に2つのオプションがあります。
- DCが動的更新を実行できるようにBINDを構成する
- DCが昇格した後、DCのDNSエントリをBINDに手動で入力します
オプション1が最も一般的です。そして、単純なIPホワイトリストからより複雑な [〜#〜] tsig [〜#〜] 設定まで、この範囲のBINDを構成する方法。しかし、それが完了すると、あなたは黄金です。 DDNSのBINDの構成については、たくさんのガイドがあります。これについて具体的なヘルプが必要な場合は、別の質問を作成することをお勧めします。
オプション2はBIND構成側では「より簡単」ですが、DCを昇格させるときにもう少し作業が必要です。昇格後にDCに作成されるファイルがあり、そのDCに追加する必要があるBINDエントリがすべて含まれています。%SYSTEMROOT%\system32\config\netlogon.dns実際に行う必要があるのは、これらのエントリをBINDサーバーに手動で追加することだけです。ただし、ADトポロジまたはFSMOロールの変更(サイトの追加/削除、ドメインの追加/削除など)を行うたびに、これらのエントリを更新する必要もあります。
私が扱ってきた2つの主な戦略は、委任と転送です。
委任では、BINDをADサーバーのスレーブとして構成し、クエリの負荷をBINDサーバーにオフロードします。 ADがSOA(ala ADI))である限り、動的更新はすべてADボックスに送信されます。BINDサーバーで他のゾーンを構成することはできますが、条件付きフォワーダーをADボックスに追加することで、過去に整理した複数のビューのいくつかの問題に。
転送では、リクエストをADボックスに転送するようにBINDサーバーを構成し、クライアントがBINDボックスを指すようにして、クライアントが非ADリクエストのフェッチとキャッシュを行えるようにしますが、これにより、 ADボックスからのクライアントロード。
それはむしろあなたの目標とリソースがあなたの環境にとって何がより良いかに関するものに依存します。非常に重要なことは、ゾーンの単一の信頼できる情報源を維持することです。これは、さまざまなADボックスがSOAレコードとシリアル番号を保持する方法のため、ADIゾーンの前でBINDを実行する場合はより困難ですが、ADCを1つだけ実行している場合は、懸念。