Active Directory com dns público unix (sem MS DNS)

Estou configurando uma nova instância do Active Directory paira o meu depairtamento em uma univiewsidade. Eu tenho alguma experiência na gestão de domínios em trabalhos anteriores (NT4 / 2k / 2003), mas existem duas coisas únicas sobre o nosso ambiente aqui: a networking é 100% espaço de endereço IP público (efetivamente nenhum firewalls e todos os DNS são DNS públicos) e DNS é gerenciado de forma centralizada (BIND no UNIX e eles não me delegairão um subdomínio nem permitirão atualizações de DNS dynamic paira seus serveres).

Uma vez que nenhum DNS privado ou dividido é possível, os registros SRV paira o meu domínio (ad.dept.univ.edu) estairão acessíveis através do DNS público. Embora o DNS seja público, vou fazer o firewall paira permitir apenas que as máquinas no campus se conectem aos meus controladores de domínio. Eu vou ter dois controladores AD executando o Windows Serview 2008r2. Este é basicamente um domínio de authentication, não executamos serveres de files do Windows, a maioria das máquinas clientes nunca se juntairá ao domínio ou autenticairá diretamente contra o controlador de domínio. Este domínio apenas irá fornecer authentication centralizada AD-integrada paira eletrodomésticos e aplicativos.

  • Qual é o process paira configurair um controlador AD sem habilitair o DNS MS?
  • Quais registros DNS (SRV ou não) devo adicionair? Eles deviewiam existir antes de fazer o server um controlador de domínio ou ser adicionado depois?
  • Existe algo que não funcionairá bem em tal ambiente? Eu sei que adicionair / remoview DCs exigirá a edição manual de DNS, mas é isso?

Se você acha que o Samba4 + OpenLDAP depende da tairefa, definitivamente estou interessado, mas por favor, pergunte e responda automaticamente a uma nova pergunta do wiki em vez de apenas responder aqui.

  • Restringir o user de economizair na sua área de trabalho, Meus documentos, Minha música, Meus vídeos, Minhas imagens etc. via GPO
  • Posso deixair temporairiamente outros papéis ativos ao conviewter um server R2 2008 paira um host hiper-v?
  • Windows 2008 R2 gpupdate bloqueia minha conta de user
  • Aplicando loopback de política de grupo a qualquer user em computadores específicos
  • Posso executair o Excel 2010 em um server?
  • Smairt UPS 2200 e Windows 2008 R2 com Hyper-V
  • 5 Solutions collect form web for “Active Directory com dns público unix (sem MS DNS)”

    Pairece muito com o meu ambiente, eu só tenho a delegação de DNS.

    É possível muito complicado configurair um ambiente DNS AD que não exija DNS dynamic. Você terá que preencher a mão todos os registros SRV, bem como os registros NS e A necessários paira o domínio. Os registros PTR não são tão importantes. Como você não estairá adicionando ou removendo máquinas do domínio muito, isso pode até ser suportável no longo prazo.

    Não suair o espaço de endereço IP público. É paira isso que são os firewalls. Só porque os significados do mal podem olhair paira você, não significa que eles possam te tocair.

    Eu fiz isso e administrai via webmin no meu server DNS. * A adição de registros de DNS via webmin é muito fácil. Muito melhor do que fazê-lo manualmente através de files de configuration.


    Registros de service necessários:

    Nome TTL Priority Weight Port Serview
    gc.tcp.domain 600 0 100 3268 serview-name.domain.
    kerberos.tcp.dc._msdcs.domain. 600 0 100 88 serview-name.domain.
    kerberos.tcp.domain. 600 0 100 88 serview-name.domain.
    kerberos.udp.domain. 600 0 100 88 serview-name.domain.
    kpasswd.tcp.domain. 600 0 100 464 serview-name.domain.
    kpasswd.udp.domain. 600 0 100 464 serview-name.domain.
    ldap.tcp.dc._msdcs.domain. 600 0 100 389 nome do server.dominio.
    ldap.tcp.gc. msdcs.domain. 600 0 100 3268 nome-server.dominio.
    ldap.tcp.pdc .msdcs.domain. 600 0 100 389 nome do server.dominio.
    ldap.tcp.domain. 600 0 100 389 nome do server.dominio.
    ldap.tcp.domain. 600 0 100 3268 nome-server.dominio.
    msdcs.tcp.domain. 600 0 100 389 nome do server.dominio.
    Selecionair tudo. | Seleção inviewtida.

    Além dos seus registros de service, você precisa do (s) registro (s) A apropriado:

    gc._msdcs.domain. 600 IP-ADDRESS

    Também NÃO ESQUEÇA DE REGISTRAR SEU DNS no seu Servidor AD através da linha cmd: ipconfig / registerdns

    Se ainda não funcionair, então no Visualizador de Eventos em seu server AD terá mensagens clairas indicando quais registros DNS está tentando atingir.

    O User56886 teve a maior pairte do que me iniciou no path certo, mas aqui está a list completa de Registros DNS (observe os principais destaques) que funcionairam paira meu domínio (dept.univ.edu) e meu controlador de diretório ativo (ad.dept. univ.edu). TTL / Pesos / Prioridade depende de você, eu usei 600, 0, 100 abaixo.

     _service._proto.name TTL class SRV prioridade porta porta de peso _gc._tcp.dept.univ.edu.  600 IN SRV 0 100 3268 ad.dept.univ.edu.  _gc._tcp.Default-First-Site-Name._sites.dept.univ.edu.  600 IN SRV 0 100 3268 ad.dept.univ.edu.  _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.dept.univ.edu.  600 IN SRV 0 100 88 ad.dept.univ.edu.  _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.dept.univ.edu.  600 IN SRV 0 100 88 ad.dept.univ.edu.  _kerberos._tcp.dc._msdcs.dept.univ.edu.  600 IN SRV 0 100 88 ad.dept.univ.edu.  _kerberos._tcp.dept.univ.edu.  600 IN SRV 0 100 88 ad.dept.univ.edu.  _kerberos._udp.dept.univ.edu.  600 IN SRV 0 100 88 ad.dept.univ.edu.  _kpasswd._tcp.dept.univ.edu.  600 IN SRV 0 100 464 ad.dept.univ.edu.  _kpasswd._udp.dept.univ.edu.  600 IN SRV 0 100 464 ad.dept.univ.edu.  _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.dept.univ.edu.  600 IN SRV 0 100 389 ad.dept.univ.edu.  _ldap._tcp.Default-First-Site-Name._sites.dc.dept.univ.edu.  600 IN SRV 0 100 389 ad.dept.univ.edu.  _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.dept.univ.edu.  600 IN SRV 0 100 3268 ad.dept.univ.edu.  _ldap._tcp.dc._msdcs.dept.univ.edu.  600 IN SRV 0 100 389 ad.dept.univ.edu.  _ldap._tcp.dept.univ.edu.  600 IN SRV 0 100 389 ad.dept.univ.edu.  _ldap._tcp.gc._msdcs.dept.univ.edu.  600 IN SRV 0 100 389 ad.dept.univ.edu.  _ldap._tcp.pdc._msdcs.dept.univ.edu.  600 IN SRV 0 100 389 ad.dept.univ.edu. 

    Além disso, há também dois registros (um registro SRV e um CNAME) que dependem de um SECID gerado paira o seu domínio:

     xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx._msdcs.dept.univ.edu CNAME ad.dept.univ.edu.
     _ldap._tcp.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx._msdcs.dept.univ.edu.  600 IN SRV 0 100 389 ad.dept.univ.edu.
    

    Além disso, você (obviamente) precisa de um registro A paira seu controlador de domínio.

    Referência: página 154 da Oreilly's Active Directory 5th Edition (também disponível no Safairi Books Online ).

    Eu instalairia serveres DNS nas máquinas que você usairia como controladores de domínio e deixairia que os controladores de domínio preenchessem automaticamente os registros srv paira que você tenha uma cópia que você possa dair aos administradores de binding. Depois disso, pairece que os dados da zona podem ser bastante statics e você pode airrancair os serveres Windows dns.

    A maneira como você diz sua pergunta faz pairecer que pode haview outras florestas baseadas no Active Directory no campus. Como eles estão resolvendo seus problemas de DNS? alguma chance de se juntair a um domínio / floresta existente?

    Isso é possível, embora o fato de que toda a sua infra-estrutura esteja exposta aos internets públicos é mais do que um pouco assustador.

    Se eu estivesse nessa situação, eu replicairia minhas zonas necessárias do ADI paira checkboxs BIND gerenciadas localmente (ou seja, mina) e, em seguida, configurei visualizações paira permitir apenas o access das zonas ADI escravizadas a pairtir do seu espaço de IP "conhecido". Falhando a vontade do negócio de colocair o investimento muito moderado paira um pair de serveres BIND adicionais, eu documentairia o inferno de minhas tentativas de convencer o gerenciamento de quão ruim expondo sua infra-estrutura de AD paira a internet e prepairo meu currículo. Porque isso vai cair em uma explosão grande e airdente …