AD域下DNS外遷，環(huán)境說明：windows 2008 R2服務(wù)器AD+DNS，一主多輔模式，主機(jī)名：level.lakyy.com,主機(jī)IP地址：192.168.0.180；bind采用的是9.10.6版本，IP地址為：192.168.0.160。

創(chuàng)新互聯(lián)公司成都企業(yè)網(wǎng)站建設(shè)服務(wù)，提供網(wǎng)站制作、成都網(wǎng)站制作網(wǎng)站開發(fā),網(wǎng)站定制,建網(wǎng)站,網(wǎng)站搭建,網(wǎng)站設(shè)計,自適應(yīng)網(wǎng)站建設(shè),網(wǎng)頁設(shè)計師打造企業(yè)風(fēng)格網(wǎng)站,提供周到的售前咨詢和貼心的售后服務(wù)。歡迎咨詢做網(wǎng)站需要多少錢:18982081108

    bind可以通過配置srv資源記錄的模式，進(jìn)行接管windows ad下的DNS，同時，bind只可以和主域控進(jìn)行配置互動，配置之后不會影響終端進(jìn)行加入AD域，不會影響正常的解析。配置方法如下：

    一、BIND DNS配置

    （1）配置關(guān)于windows ad服務(wù)器的A記錄

cat lakyy.com.dnstest
$TTL 3600
@ IN SOA ns.lakyy.com. root.lakyy.com. (
1808032145
3600
1800
604800
3600 )
        IN      NS      ns
ns      3600    IN      A       192.168.0.160
level   3600    IN      A       192.168.0.180

     (2)添加srv記錄，允許客戶端定位一個kerberos kdc的域，所有的DC域控制器提供kerberos服務(wù)（用于身份驗證和資源訪問）將進(jìn)行注冊這個名字。記錄名稱為“_kerberos._tcp”優(yōu)先權(quán)0，權(quán)重0，端口88，提供服務(wù)的主機(jī)ad

cat lakyy.com.dnstest
$TTL 3600
@ IN SOA ns.lakyy.com. root.lakyy.com. (
1808032148
3600
1800
604800
3600 )
        IN      NS      ns
_kerberos._tcp  3600    SRV     0       0       88      level
ns      3600    IN      A       192.168.0.160
level   3600    IN      A       192.168.0.180

    (3)添加srv記錄，允許客戶端找到一個ldap服務(wù)器level.lakyy.com域提交查詢來為找到對象的活動目錄。所有windows NT域控制器在level.lakyy.com域?qū)⒆赃@個名字。記錄名稱為“_ldap._tcp”，優(yōu)先權(quán)0，權(quán)重0，端口389，提供服務(wù)的主機(jī)level

cat lakyy.com.dnstest
$TTL 3600
@ IN SOA ns.lakyy.com. root.lakyy.com. (
1809090945
3600
1800
604800
3600 )
        IN      NS      ns
_kerberos._tcp  3600    SRV     0       0       88      level
_ldap._tcp      3600    SRV     0       0       389     level
ns      3600    IN      A       192.168.0.160
level   3600    IN      A       192.168.0.180

    (4)添加srv記錄，允許客戶端找到一個域控制器在level.lakyy.com域，所有windows NT ddomain域控制器在level.lakyy.com域?qū)⒆赃@個名字。記錄名稱為“_ldap._tcp.dc._msdcs”，優(yōu)先權(quán)0，權(quán)重0，端口389，提供服務(wù)的主機(jī)level

cat lakyy.com.dnstest
$TTL 3600

@ IN SOA ns.lakyy.com. root.lakyy.com. (
1809090949
3600
1800
604800
3600 )

        IN      NS      ns
_kerberos._tcp  3600    SRV     0       0       88      level
_ldap._tcp      3600    SRV     0       0       389     level
_ldap._tcp.dc._msdcs    3600    SRV     0       0       389     level
ns      3600    IN      A       192.168.0.160
level   3600    IN      A       192.168.0.180

    (5)添加srv記錄，允許客戶端找到全局編錄服務(wù)器的活動目錄森林，進(jìn)行正常記錄查找，全局目錄森林將注冊這個記錄。記錄名稱為“gc._msdcs.level”,優(yōu)先權(quán)0，權(quán)重0，端口3268，提供服務(wù)的主機(jī)level

cat lakyy.com.dnstest
$TTL 3600
@ IN SOA ns.lakyy.com. root.lakyy.com. (
1809090953
3600
1800
604800
3600 )
        IN      NS      ns
_kerberos._tcp  3600    SRV     0       0       88      level
_ldap._tcp      3600    SRV     0       0       389     level
_ldap._tcp.dc._msdcs    3600    SRV     0       0       389     level
gc._msdcs.level 3600    SRV     0       0       3268    level
ns      3600    IN      A       192.168.0.160
level   3600    IN      A       192.168.0.180

    (6)添加srv記錄，允許客戶端找到一個域控制器運(yùn)行kerberos kdc域名，命名level.lakyy.com，所有windows nt域控制器將運(yùn)行kerberos服務(wù)在level.lakyy.com域，并進(jìn)行注冊這個名字。記錄名稱為“_kerberos._tcp.dc._msdcs”,優(yōu)先權(quán)0，權(quán)重0，端口88，提供服務(wù)的主機(jī)level.

cat lakyy.com.dnstest
$TTL 3600
@ IN SOA ns.lakyy.com. root.lakyy.com. (
1809091133
3600
1800
604800
3600 )
        IN      NS      ns
_kerberos._tcp.dc._msdcs        3600    SRV     0       0       88      level
gc._msdcs.level 3600    SRV     0       0       3268    level
_ldap._tcp.dc._msdcs    3600    SRV     0       0       389     level
_ldap._tcp      3600    SRV     0       0       389     level
_kerberos._tcp  3600    SRV     0       0       88      level
ns      3600    IN      A       192.168.0.160
level   3600    IN      A       192.168.0.180

    （7）配置DNS參數(shù)

view "dnstest"
{
        zone "lakyy.com" IN
        {
                type master;
                allow-update { 192.168.0.180; 192.168.0.160; 192.168.0.0/24; };
                check-names ignore;

                file "lakyy.com.dnstest";
        };
        zone "0.168.192.in-addr.arpa" IN
        {
                type master;
                allow-update { 192.168.0.180; 192.168.0.160; 192.168.0.0/24; };
                check-names ignore;

                file "0.168.192.in-addr.arpa.dnstest";
        };
};

    二、Windows 配置

    （1）更改ad服務(wù)器DNS指向，將PC的DNS地址修改為bind服務(wù)器地址。

    （2）使用命令“net stop/start netlogon”進(jìn)行強(qiáng)制使AD進(jìn)行注冊DNS。

    三、故障問題排查

    （1）bind和主域控進(jìn)行聯(lián)動配置，無法更新動態(tài)A記錄。問題原因：①bind DNS參數(shù)allow update需要把所有允許進(jìn)行使用動態(tài)A的子網(wǎng)網(wǎng)段全部添加進(jìn)去。②區(qū)域復(fù)制問題。使用dcdiag命令，可以進(jìn)行對比排查主輔域控制器區(qū)域間復(fù)制是否存在異常。

    （2）終端無法加入AD域。問題原因：①網(wǎng)絡(luò)通訊問題，終端機(jī)器到bind DNS或者終端到AD域通信故障；②配置srv記錄錯誤或者bind dns無法與ad域服務(wù)器進(jìn)行通信。

    （3）其他未盡問題，可以聯(lián)系博主進(jìn)行解決。謝謝