- PR -

AD環境にBINDを利用する

1|2 次のページへ»
投稿者投稿内容
Yuta7311
会議室デビュー日: 2004/12/27
投稿数: 7
投稿日時: 2005-04-05 00:18
現在、既存DNS(BIND)と同じドメイン名で稼動しているAD環境の修復を任されています。
(Windows2000Server、MS-DNS、アクティブディレクトリ統合)
色々検討しているのですが、解が見つからず困っています。

テスト環境でWindowsServer2003を立ち上げ、ドメイン名変更のテストを試しましたが
正常に処理されなかった場合、クライアントでの作業が発生するので別の方法を検討し
ています。(IDGムックシリーズWindowsServerWorld特別偏を参考にしました)
クライアント数が約500名います。

現在、AD側のDNSをBINDに変更して、既存BIND-DNSのスレーブ(セカンダリ)と言う環境
にして正常化できなか検討中です。

参考になるHP,文献などありましたら教えて頂けないでしょうか?

不明な点は、現状のMS-DNSのアクティブディレクトリ統合→標準プライマリに変更する
作業などです。

よろしくお願いします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-04-05 00:39
こんばんわ.
引用:

Yuta7311さんの書き込み (2005-04-05 00:18) より:

現在、AD側のDNSをBINDに変更して、既存BIND-DNSのスレーブ(セカンダリ)と言う環境
にして正常化できなか検討中です。

参考になるHP,文献などありましたら教えて頂けないでしょうか?

不明な点は、現状のMS-DNSのアクティブディレクトリ統合→標準プライマリに変更する
作業などです。

それで「正常化」というのができるのですか?
ActiveDirectory 用の DNS に新たに bind を利用したいのでしょうか?
それとも ActiveDirectory 用の DNS に既存の bind を利用したいのでしょうか?

Microsoft DNS を標準 primary にするのは普通に help に書かれていませんか?
該当の zone を右クリックしてプロパティを開けば,
すぐにわかると思いますが?

そもそも ActiveDirectory で必要とされる
DNS サービスの機能は把握されていますか?
それがわからなければ,bind であれ Microsoft DNS であれ,
うまく行かないと思います.

以上,ご参考までに.
Yuta7311
会議室デビュー日: 2004/12/27
投稿数: 7
投稿日時: 2005-04-05 01:13
Kazさん、コメントありがとうございます。

標準プライマリにする方法については、分かっています。書き方が悪くすみません。
影響について知りたかっただけです。再度ヘルプを読み見直します。

既存のBINDと同じドメイン名を付けた時点で問題とは分かっていますが、
この環境を正常化する方法を模索中です。何か良い方法はないでしょうか?

考えていたのは、以下の様な構成です。

hoge.ne.jp(既存 Unix上BIND) マスター ※BIND8.1.2以上です。
hoge.ne.jp(W2kSRV上BIND)  セカンダリ(AD用)


アドバイス頂ければと思います。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-04-05 07:20
引用:

現在、既存DNS(BIND)と同じドメイン名で稼動しているAD環境の修復を任されています。
(Windows2000Server、MS-DNS、アクティブディレクトリ統合)

ADゾーンをBINDでホストすることも可能ですが、
なんせ実例が少ないし、資料も少ないですから、
あくまでもMicrosoftDNSでADのプライマリゾーンを持つことを前提に、
BINDでホストしてたゾーン情報をMicrosoftDNSでも保持できる状態にしましょう。

BINDで保持していたゾーン情報を、MicrosoftDNSに手動で追加して、
MicrosoftDNSでAD関連、それ以外の名前解決が出来ることを確認した上で、
BINDをセカンダリ、MicrosoftDNSをプライマリまたはAD統合ゾーンにすればいいだけです。

既存ゾーンと同じ名前で作成した場合の注意点についても、
MicrosoftのActiveDirectory構築資料に載ってます。
それを見ずとも、DNSの仕組みを理解してれば構築は可能です。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-04-05 07:36
おはようございます.

bind による ActiveDirectory の運営は Mattun様ご指摘のとおりです.
引用:

Yuta7311さんの書き込み (2005-04-05 01:13) より:

既存のBINDと同じドメイン名を付けた時点で問題とは分かっていますが、
この環境を正常化する方法を模索中です。何か良い方法はないでしょうか?

考えていたのは、以下の様な構成です。

hoge.ne.jp(既存 Unix上BIND) マスター ※BIND8.1.2以上です。
hoge.ne.jp(W2kSRV上BIND)  セカンダリ(AD用)

bind 側を 2ndary にしたほうが良いと思います.

ActiveDirectory を構成する前なら下記のようにすると良いかも.
まずは bind(master) -> Microsoft DNS(2ndary)で zone 情報を転送したあと,
bind を停止して Microsoft DNS を master にします.
Microsoft DNS が通常の 2ndary の状態で zone 情報が転送されてくると,
zone 情報が書き込まれた zone file が生成されます.
これを master の zone 情報として転用すると,
そのまま master な DNS server を構築できると思います.

Microsoft DNS を master として構成した後,
通常 master のまま ActiveDirectory を構成し,
さらに bind をその Microsoft DNS の 2ndary として構成すると,
「同じ zone name で作成して個別に管理」ではなく,
「同じ zone を連動して管理する」状態になると思います.

以上,ご参考までに.
Yuta7311
会議室デビュー日: 2004/12/27
投稿数: 7
投稿日時: 2005-04-06 01:11
Kazさん、Mattunさんアドバイスありがとうござます。

引用:
Microsoft DNS を master として構成した後,
通常 master のまま ActiveDirectory を構成し,
さらに bind をその Microsoft DNS の 2ndary として構成すると,
「同じ zone name で作成して個別に管理」ではなく,
「同じ zone を連動して管理する」状態になると思います.


やはりMicrosoftDNSをMasterにするしかないようですね。
現状、BIND(Unix)のDNSを参照するUnixマシンなどが多い為、
現在のMasterのまま運用できる手段を考えていました。

ネットワーク担当の者と話合ってみます。

以前、@ITの記事でグローバルナレッジネットワークの横山さんが
以前下記の様に書かれていましたが、まさにこの通りの状態の様な気
がします
(勝手に引用したので問題がありましたら、削除しますの連絡ください)
引用:


Active DirectoryドメインはDNSドメインと一致しなければならない。
もちろん、だからといってActive Directory用のドメインをインターネット上に
公開する必要はない。

 DNSはインターネットを支える基盤技術であるにもかかわらず、十分に理解して
いる人は少ない。過去にDNSを使っていなかったWindowsエンジニアが知らないのは
情状酌量の余地があるとしても、UNIXエンジニアでさえDNSを完全に理解している
人は決して多くはないのが現状だ。DNSを知らないWindowsエンジニアが、DNSを少し
しか知らないUNIXエンジニアと話をして、Active Directoryの導入を行う場合の結
果は大きく3つのパターンをたどる。まず、Active Directoryのインストールが却下
されるケース。そして、DNSの設定を間違えたまま運用を続けてしまうケース。
最後が、偶然にも正しく運用できるケースである。


最後に2点ほど、質問(確認)させてください。

1.MicrosoftDNSをMasterとして運用した場合、2ndaryで運用するBINDは
  動的更新を有効にする必要がありますよね?

2.MicrosoftDNSを立ち上げず、現状のBIND(Master)を動的更新を有効に
  してActiveDirectory用としても運用することは可能でしょうか?

よろしくお願い致します。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-04-06 01:36
引用:

1.MicrosoftDNSをMasterとして運用した場合、2ndaryで運用するBINDは
  動的更新を有効にする必要がありますよね?

ありません。
AD統合もしくはプライマリ以外のゾーンに対して動的更新なんて出来ません。

引用:

2.MicrosoftDNSを立ち上げず、現状のBIND(Master)を動的更新を有効に
  してActiveDirectory用としても運用することは可能でしょうか?

プライマリゾーンがSRVレコードを扱えて、動的更新が有効なら、そういう構成も可能です。

で、DNSを理解できてて、MSが公開しているMicrosoftDNSに関する資料を読んでいれば、
BINDでどういう構成にすれば適切なAD関連ゾーンをホストできれば理解できるわけで、
その辺を横山さんが言ってるわけなんですが、あえて引用していながら理解できてないなら、
素直にMicrsoftDNSをプライマリで使うか、必死にDNSの仕組みを勉強してください。
Yuta7311
会議室デビュー日: 2004/12/27
投稿数: 7
投稿日時: 2005-04-06 01:56
Mattunさん、アドバイスありがとうございます。

引用:
DNSを理解できてて、MSが公開しているMicrosoftDNSに関する資料を読んでいれば、
BINDでどういう構成にすれば適切なAD関連ゾーンをホストできれば理解できるわけで、
その辺を横山さんが言ってるわけなんですが、あえて引用していながら理解できてないなら、
素直にMicrsoftDNSをプライマリで使うか、必死にDNSの仕組みを勉強してください。


そうですね。もっとしっかり勉強が必要ですね。
色々ありがとうございました。
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)