Автор Тема: DNS на Linux и DNS от MS AD / как правильнее совместить в одной сети  (Прочитано 325 раз)

Оффлайн sb

  • Модератор глобальный
  • *****
  • Сообщений: 8 991
Возникла необходимость вывести MS AD из тени (из изолированной физической сети) в основную сеть, где находятся будущие клиенты. Но в этой сети работает DNS резолвер Unbound под альтом. Как я понял, чтобы работал резолвинг имен для MS AD необходимо клиентам указать ip адрес MS AD в качестве DNS сервера. Но есть, как говорят, ещё вариант, когда Unbound будет перенаправлять запросы на MS AD при некоторых условиях.

Хотелось бы понять, возможны ли к реализации оба варианта (добавление в настройках клиентов ещё одного DNS ip и запрос у DNS AD данных через DNS ip Unbound) и каковы плюсы/минусы вариантов.

Оффлайн sb

  • Модератор глобальный
  • *****
  • Сообщений: 8 991
Попробовал вход в домен с двумя dns на клиенте (один из них ad) и с одним. Существенной разницы не увидел. Но всё же во втором случае время ожидания получается несколько меньше на глаз. Наверное так и оставим пока.

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 099
Unbound надо сделать вторичным DNS для той зоны, которую держит DNS MS AD. Как - не знаю.

Оффлайн sb

  • Модератор глобальный
  • *****
  • Сообщений: 8 991
Unbound надо сделать вторичным DNS для той зоны, которую держит DNS MS AD. Как - не знаю.
Unbound - основной DNS ресурс в сети и переход на dns от windows не планируется, поэтому делать его вторичным мимо. Это пк малого количества юзеров в домене авторизовывать (не более того). Домен чисто локальный и во внешку не смотрит.

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 099
Unbound - основной DNS ресурс в сети и переход на dns от windows не планируется, поэтому делать его вторичным мимо.
А какая тут связь? Для одних зон DNS просто кэш, для других первичный, для третьих - вторичный.

Оффлайн sb

  • Модератор глобальный
  • *****
  • Сообщений: 8 991
Ну тут получается, что в адешке авторизация машин работает, а вот управлять машиной не выходит. Если добавить дополнительный DNS на интерфейс, то этот функционал работает. Если честно я первый раз с такой задачей сталкиваюсь. Видимо просто придётся добавить дополнительным dns от на интерфейс. Но не хотелось бы, собственно из-за этого и заморочился :-D

Оффлайн akelot

  • Начинающий
  • *
  • Сообщений: 14
Думаю тут нужно добавить зоны в Unbound по аналогии http://www.lissyara.su/articles/freebsd/programms/bind+ad/
Или не ломать голову, а сделать DNS MS AD первичным, и его средствами уже резолвить на Unbound все "внешние" запросы.