Windows 2012 AD/DC - bind9 dns

Sziasztok!

Adott egy középiskolai kollégiumi környezet, kb 50db domain-ba léptetett windows 7/10 (vegyesen) pc-vel. Fontos szempont még, hogy nem mindig vagyok ott, hogy rácsapjak a kezére, amikor az UTP kábelt a laptopjába próbálja betuszkolni.

A kérdésem most nem a hálózat effektív védelmével, radiussal, egyebekkel, akar foglalkozni, hanem kifejezetten az ADC-bind9 kapcsolatával!

A lényeg az lenne, hogy megpróbálnám kiváltani a windows DNS szerverét, mert a hálózaton a "fő" DNS szerver egy debian alatt futó bind9, és ezt kapják meg a dhcp-től is. Eddig úgy volt beállítva, hogy a Windows DNS zónája slave-ként fel volt véve a bind9-en, így fel tudta oldani az ad-hez tartozó rekordokat is. Később szükség lenne a kliensek PTR és egyenes (A) rekordjainak automatikus frissítésére, ugyanakkor a bind9 már tartalmaz kézzel beállított PTR-eket is, így a slave zona ebben az esetben nehézkes.

1.)
A bind9-en a zónát beállítva masterre, (bind configban az: allow-update{ ADC-ip; }; beállítva) az ADC szerver sikeresen frissíti a saját rekordjait.
Kérdés: Ez elég?
Nem fog a kerberos emiatt panaszkodni, hogy a kliensek forward "A" rekordjai nincsenek benne, nem feloldhatóak?
(Mert a kliensek maguk akarják frissíteni a bind9-en a rekordjaikat, és így, by-ip nem tartanám biztonságosnak az allow-update-t számukra, nehogy olyat is frissítsen, amihez nem lenne joga.

2.)
Be lehet-e azt valahogy állítani, hogy a bind9 valamiféle authentikáció/kerberos alapján engedélyezze csak a kliensek számára a zónák/rekorodok frissítését?

3.)
Amikor a windows a saját DNS szerverét használva, a kliensek frissítik a rekordjaikat, akkor alkalmaz valami ellenőrzést, vagy ő is by-tartomány engedélyez mindent?

Hozzászólások

Ha a hajad épsége számit, akkor nagy ivben kerülöd ezt a hibrid borzalmat. (volt szerencsém bind-re tákolt AD-t rendbetenni, katasztrófa)

A 3-ashoz, a windows server secure dns update esetén először Kerberos-on hitelesiti a user-t és ha joga van az adott rekordhoz, csak akkor engedi update-elni neki, szó sincs bárki-bármit updatelhet-ről, az nagyon durva lyuk volna a rendszerben.

Elég ősz vagyok már ahhoz, hogy számít :)

Viszont valamilyen megoldást szeretnék találni a dns szerverek darabszámának csökkentésére.
Bár egyszerűbb lenne összekattintgatni egy DNS-szervert az ADC mellé, de problámát még az is bonyolítja, hogy a hálózat további része viszont nagyon szereti(né) a bind-et használni.

Mert:
Legyen a domain: example.com, amit a bind szolgál ki, ezt használják még további linuxos gépek, szerverek,
és legyen az activedirectory.example.com, ami a windowshoz tartozik, amit így a windows DNS -e szolgáltatna.

Ezt még át lehet hidalni a bind-re felvett slave zona-val.
Viszont én az dinamikus dns frissítéseken is gondolkozok, amihez így már a windows dns szerverét kellene megadnom a klienseknek, a bind helyett. (hogy ott próbálkozzanak a dns frissítéssel, ne a bind-en)

Még ez is megoldható lenne, de a ptr-nél már elakad a dolog, mert vannak ptr rekordok a bind-en is, amit így meg vagy külön adminisztrálni kellene a windows dns-en is, vagy nem látná.

4.) lehetőségként (ami igazából 1.5-ik lehetőség lenne) választom az 1-est, (vagyis csak az ADC-nek engedem a módosítást), a többi, és reverse rekordokat meg kitöltöm kézzel, mert a dhcp úgyis fixip-ket oszt.

A kérdés továbbra is, hogy a kerberos hogy reagál, ha a kliensek rekordjai átmenetileg, vagy hosszabb ideig nem elérhetőek, mert nincsenek felvéve, vagy más nevet adok, mint a kliens neve**?

** például: a gép neve hp111.domain.example.com (ip:192.168.5.111)
én meg felveszem mondjuk dhcp-111.domain.example.com -mal.

Semmi nem történik, miért nyúlna hozzá?
A kliensek részéről pedig "semmit nem számít" a név. Az A, AAAA, és SRV rekordok legyenek rendben a szerverekre, addig baj nincs.
A samba4 sokáig bugos volt, és nem működött egyáltalán a kliens dns update benne. Semmi nem történik, annyi hogy a desktop-sdfgsd54.asd.lan néven nem lesz elérhető a kliens, meg max lesz logba egy hiba.
Én mondjuk kihajítanám a windowst, és feltennék két sambat, vagy egyszerűen a windows mellé beraknék egy sambat tartományvezérlőnek (mert ugye egy DC amúgy se DC) és felvenném bele a rekordokat, ami kell, vagy akár egy külön dns zónát az ad-ba a fix dolgokhoz.
--
"Sose a gép a hülye."