如何让 BIND 和 Microsoft DNS 协同工作？

Question

我想尝试将尽可能多的公司 DNS 配置移动到 BIND，因为我发现它更易于使用，但是拥有 Active Directory 意味着我们必须至少在 Microsoft DNS 中拥有域的区域。

也许我可以在 MSDNS 中拥有域的区域（例如 company.local），但在 BIND（例如 company.org）中有另一个区域，该区域具有相同计算机的正向和反向区域。DHCP 服务器可以将 BIND 分配为主要和次要 DNS，我们只是将该区域用于日常使用。我们也可以在 BIND 中为域区域创建从属区域，我们只是将所有显式 DNS 操作移动到 BIND，但通过 BIND 保持域区域可用，以便 AD 可以运行。

有没有人这样做并成功了？或者这是一个非常糟糕的主意？:)

Answer 1

我们这样做。我不确定我会推荐它，但我们这样做：

运行 BIND 的 Solaris 服务器

• 对除 example.ad 之外的每个转发域都具有权威性
• 对每个 in-addr.arpa 区域运行权威，除了由 AD DHCP 服务的区域
• 例如从 AD DNS 服务器拉取从属服务器。ad 和 DHCP 范围

运行 BIND 的 Linux 服务器

• 例如从 AD DNS 服务器拉取从属服务器。ad 和 DHCP 范围
• 从solaris primary 为其他所有东西拉奴隶。

AD DNS 服务器

• 例如运行 master.ad
• 为 AD DHCP 服务的任何 in-addr.arpa 区域运行 master。
• 将所有递归请求转发到 solaris/linux BIND 安装

Windows 客户端

• 通过 AD DHCP 分配 AD DNS 服务器。我们对此进行了试验，发现我们使用的“微软产品系列”不喜欢没有 AD DNS 服务器。我们可能早就放弃了，但从我记忆中的情况来看，情况并不顺利。

UNIX/Linux/操作客户端：

• 硬编码 BIND DNS 服务器

在实践中，以下是我们制定的一些政策：

• 任何引用 IT 级服务（交换等）的记录都会在 example.ad 中获得 A 记录，并在 example.com 中获得指向 record.example.ad 的 CNAME
• 任何涉及操作或网络设备的记录都会在 example.com 中获得 A 记录，在 example.ad 中获得 CNAME。

我们的设置实际上比这更复杂一点，因为我们购买了一家使用 Netware/AD 进行 DNS/DHCP 的公司，因此我们对它们有一套类似的规则。

如果你的手不是被迫的，我不确定我会推荐这样做。我们的安装是尝试充分利用一组糟糕的情况。不过，我必须承认，我喜欢使用BIND所以比AD DNS得多，所以，因为我们显然不会摆脱AD的，这是一个很好的方式，有一些使用BIND的。

我们遇到的一个问题是缓存在 AD DNS 服务器中。我们已经尝试教育我们的运营客户，他们的笔记本电脑使用 AD DNS，但更改是在 BIND 中进行的，因此如果他们进行更改并且想要验证它，他们必须手动查找正确的服务器。这是一个烦恼，但这是一个经常出现的问题。

希望有帮助。