Могу ли я полностью удалить Windows DNS в пользу BIND9 в сети AD?

Я хотел бы удалить функцию DNS на контроллерах домена Windows и указать DNS-серверы на наших серверах BIND9.

Я знаю, что можно настроить сосуществование, но для этого требуется количество дополнительных DNS-серверов Windows, равное количеству контроллеров домена в сети.

Active Directory ожидает зону _msdcs и другие вещи, такие как _tcp, _udp; и т.п.

Главный вопрос: как сделать так, чтобы BIND9 позаботился обо всех этих специфических данных AD? И с динамическим обновлением, чтобы сделать AD еще счастливее.

Благодарность,

PS: создание BIND9 указывает на DNS-серверы Windows для разрешения определенных зон Active Directory не вариант. Мы уже делаем это ...

РЕДАКТИРОВАТЬ: Как и сегодня, я работаю без Windows DNS. Я пишу руководство о том, как это сделать, и я буду обновлять эту тему.

Могу ли я полностью удалить Windows DNS в пользу BIND9 в сети AD?

Да. Как указал joeqwerty, если DNS-сервер удовлетворяет требованиям DNS для поддержки Active Directory, вы можете использовать его в качестве AD DNS.
(BIND делает, Microsoft даже предоставляет руководство, на которое ссылается Джо , и вы можете найти кучу статей в Google.

Это не тот вопрос, который вы должны задавать , вопрос, который вы должны задавать:

ДОЛЖНА я полностью удалить WindowsDNS в пользу bind9 в сети AD?

По моему личному мнению, ответ АБСОЛЮТНО НЕТ, если вы не любите боль.
AD и Windows DNS тесно переплетены - вы, конечно, можете их разглядеть, но это не будет приятным, и может создать проблемы позже.

Если ваша цель состоит в том, чтобы не предоставлять свои DNS-серверы Windows (по какой-либо причине безопасности, для минимизации нагрузки на сервер и т. Д.), Лучшим вариантом будет сделать DNS-серверы BIND подчиненными, реплицируя зоны DNS DNS.
Это скрывает серверы Windows от посторонних глаз (и чрезмерной нагрузки), но все же позволяет Active Directory общаться с DNS-серверами Windows, которые он знает и любит.
Вы даже можете минимизировать количество DNS-серверов Windows, если идете по этому пути, поскольку единственные вещи, которые говорят с ним, должны быть Active Directory / DC (создание обновлений) и серверы BIND, выбирающие эти обновления для обслуживания другим системам).

1. «Я хотел бы удалить функцию DNS контроллеров домена Windows» - это неверно. Роль DC и роль DNS - это две разные роли. Они очень часто устанавливаются на одной машине, но это не является обязательным требованием.

2. «Я знаю, что можно настроить сосуществование, но для этого требуется количество дополнительных DNS-серверов Windows, равное количеству контроллеров домена в сети». - Это тоже неверно. Вам не требуется сопоставлять количество DNS-серверов контроллерам домена.

3. Вы можете использовать DNS-сервер не Microsoft, если он соответствует требованиям DNS для поддержки AD. Если Bind9 отвечает этим требованиям, вы можете использовать его.