带有公共 unix dns 的 Active Directory（无 MS DNS）

Question

我正在为我在大学的系设置一个新的 Active Directory 实例。我在以前的工作 (NT4/2k/2003) 中有一些管理域的经验，但这里的环境有两个独特之处：网络是100% 公共 IP 地址空间（实际上没有防火墙，所有 DNS 都是公共 DNS）和DNS是集中管理的（UNIX 上的 BIND，他们不会将子域委托给我，也不会允许动态 DNS 更新到他们的服务器。）

由于无法使用私有或拆分 DNS，我的域 (ad.dept.univ.edu) 的 SRV 记录可通过公共 DNS 访问。尽管 DNS 是公开的，但我将防火墙设置为仅允许校园内的机器连接到我的域控制器。我将有两个运行 Windows Server 2008r2 的 AD 控制器。这基本上是一个仅限身份验证的域，我们不运行 Windows 文件服务器，大多数客户端机器永远不会加入域或直接对域控制器进行身份验证。该域主要只是为设备和应用程序提供集中的 AD 集成身份验证。

• 在不启用 MS DNS 的情况下设置 AD 控制器的过程是什么？
• 我应该添加哪些 DNS 记录（SRV 或其他）？它们应该在使服务器成为域控制器之前存在还是之后添加？
• 在这样的环境中，有什么东西不能很好地运行吗？我知道添加/删除 DC 需要手动编辑 DNS，但就是这样吗？

如果您认为 Samba4+OpenLDAP 能够胜任这项任务，我绝对感兴趣，但请提出并自行回答一个新的 wiki 问题，而不是仅仅在这里回复。

Answer 1

听起来很像我的环境，只有我有 DNS 委派。

这是可能的，虽然很棘手的设立不需要动态DNS的AD DNS环境。您必须手动填充所有 SRV 记录，以及域所需的 NS 和 A 记录。PTR 记录没有那么重要。由于您不会在域中添加或删除太多机器，因此从长远来看，这甚至是可以支持的。

不要担心公共 IP 地址空间。这就是防火墙的用途。仅仅因为邪恶的小人可以看着你并不意味着他们可以触摸你。

Answer 2

我已经完成了这个并通过我的 DNS 服务器上的 webmin 管理它。*通过 webmin 添加 DNS 记录非常简单。比通过配置文件手动执行要好得多。

需要的服务记录：

名称 TTL 优先权重端口服务器
gc.tcp.domain 600 0 100 3268 server-name.domain。
kerberos.tcp.dc._msdcs.domain。600 0 100 88 服务器名称.域。
kerberos.tcp.domain。600 0 100 88 服务器名称.域。
kerberos.udp.domain。600 0 100 88 服务器名称.域。
kpasswd.tcp.domain。600 0 100 464 服务器名称.域。
kpasswd.udp.domain。600 0 100 464 服务器名称.域。
ldap.tcp.dc._msdcs.domain。600 0 100 389 服务器名称.域。
ldap.tcp.gc。msdcs.domain。600 0 100 3268 服务器名称.域。
ldap.tcp.pdc .msdcs.domain。600 0 100 389 服务器名称.域。
ldap.tcp.domain。600 0 100 389 服务器名称.域。
ldap.tcp.domain。600 0 100 3268 服务器名称.域。
msdcs.tcp.domain。600 0 100 389 服务器名称.域。
全选。| 反转选择。

除了您的服务记录，您还需要适当的 A 记录：

gc._msdcs.domain。600 IP地址

也不要忘记通过 cmd 行在您的 AD 服务器上注册您的 DNS：ipconfig/registerdns

如果它仍然不起作用，那么在您的 AD 服务器上的事件查看器中将有明确的消息，指示它试图点击哪些 DNS 记录。

Answer 3

User56886 拥有大部分内容，这让我开始走上正轨，但这里是适用于我的域 (dept.univ.edu) 和我的活动目录控制器 (ad.dept.edu) 的 DNS 记录的完整列表（注意前导下划线）。大学.edu）。TTL/权重/优先级由你决定，我在下面使用了600、0、100。

_service._proto.name TTL 类 SRV 优先级权重端口目标

_gc._tcp.dept.univ.edu。600 IN SRV 0 100 3268 ad.dept.univ.edu。
_gc._tcp.默认第一个站点名称._sites.dept.univ.edu。600 IN SRV 0 100 3268 ad.dept.univ.edu。
_kerberos._tcp.默认第一个站点名称._sites.dc._msdcs.dept.univ.edu。600 IN SRV 0 100 88 ad.dept.univ.edu。
_kerberos._tcp.默认第一个站点名称._sites.dc._msdcs.dept.univ.edu。600 IN SRV 0 100 88 ad.dept.univ.edu。
_kerberos._tcp.dc._msdcs.dept.univ.edu。600 IN SRV 0 100 88 ad.dept.univ.edu。
_kerberos._tcp.dept.univ.edu。600 IN SRV 0 100 88 ad.dept.univ.edu。
_kerberos._udp.dept.univ.edu。600 IN SRV 0 100 88 ad.dept.univ.edu。
_kpasswd._tcp.dept.univ.edu。600 IN SRV 0 100 464 ad.dept.univ.edu。
_kpasswd._udp.dept.univ.edu。600 IN SRV 0 100 464 ad.dept.univ.edu。
_ldap._tcp.默认第一个站点名称._sites.dc._msdcs.dept.univ.edu。600 IN SRV 0 100 389 ad.dept.univ.edu。
_ldap._tcp.默认第一个站点名称._sites.dc.dept.univ.edu。600 IN SRV 0 100 389 ad.dept.univ.edu。
_ldap._tcp.默认第一个站点名称._sites.gc._msdcs.dept.univ.edu。600 IN SRV 0 100 3268 ad.dept.univ.edu。
_ldap._tcp.dc._msdcs.dept.univ.edu。600 IN SRV 0 100 389 ad.dept.univ.edu。
_ldap._tcp.dept.univ.edu。600 IN SRV 0 100 389 ad.dept.univ.edu。
_ldap._tcp.gc._msdcs.dept.univ.edu。600 IN SRV 0 100 389 ad.dept.univ.edu。
_ldap._tcp.pdc._msdcs.dept.univ.edu。600 IN SRV 0 100 389 ad.dept.univ.edu。

此外，还有两条记录（SRV 记录和 CNAME）依赖于为您的域生成的 SECID：

xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx._msdcs.dept.univ.edu CNAME ad.dept.univ.edu。
_ldap._tcp.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx._msdcs.dept.univ.edu。600 IN SRV 0 100 389 ad.dept.univ.edu。

此外，您（显然）需要域控制器的 A 记录。

参考：Oreilly 的 Active Directory 第 5 版第 154 页（也可通过Safari Books Online获取）。