none
Bind в качестве сервера DNS для доменных машин RRS feed

  • Общие обсуждения

  • Приветствую, прошу сразу извинить за ленивость, но я честно потерялся в миллионе постов сомнительной свежести на эту тему.

    Суть - есть задачка, dns запросы некоторых компьютеров в сети отправлять после AD DNS на иной DNS сервер, чем общую массу. т.е. сейчас есть днс на контроллере домена с форвардом на провайдера где позаблокировано всякого неугодного, всё бы хорошо, но есть випы в отдельных подсетях, которым подавай и доменные ресурсы и днс гугла, без фильтрации их любимых порнохабов и вконтактиков.

    Решение очевидное для меня - поднять bind с слэйв зоной всего доменного, аля сам домен и (наверное?) всяких 

    _msdcs
    _tcp
    _udp
    _sites
    DomainDnsZones
    ForestDnsZones 

    но с форвардом уже на гуглоднс. Единственное (а единственное ли?) что меня смущает это ddns для этих випов на dhcp, я честно плаваю в понимании как он работает у микрософта и что же нужно для его корректной работы в домене. Будет ли такая схема полноценна? 

    28 марта 2018 г. 13:15

Все ответы

  • т.е. сейчас есть днс на контроллере домена с форвардом на провайдера где позаблокировано всякого неугодного,

    - пустите всех на 8.8.8.8

    - если есть ещё в сети Windows Server - поднимите там второй DNS и настройте там перенаправление на 8.8.8.8

    - а как настроить Bind для AD - это вам на форумы *nix нужно...

    28 марта 2018 г. 13:24
    Модератор
  • Боюсь вы не поняли сути, мне нельзя пускать всех на 8.8.8.8, мне нужно это сделать только для некоторых подсетей, с ACL, таймлистами и возможно инжектами. Средствами windows на одном сервере этого не сделать, на сколько я знаю, да и есть еще иные задачи, которые пока не доступны из коробки у микрософта.

    Вопрос больше академический - как работает динамическая регистрация DHCP клиентов в DNS у микрософта? Кто этим занимается? Сервер DHCP? Сам клиент после какой то проверки? По какому принципу?

    28 марта 2018 г. 13:33
  • Боюсь вы не поняли сути, мне нельзя пускать всех

    теперь всё понятно. Вы бы лучше управляли http трафиком через proxy сервера, чем через ДНС.

    А так по Вашим требованиям смотрите в сторону политик DHCP, чтобы назначать разные настройки разным клиентам:

    28 марта 2018 г. 13:48
    Модератор
  • Использование стороннего днс для фильтрации - обязательное условие. 

    и различные настройки DHCP для пользователей не решают задачи - оставив доступ к ресурсам домена и корректной работе ddns  - форвардить некоторые хосты на иной внешний днс

    28 марта 2018 г. 14:09
  • Поковыряв настройки DHCP я всё же могу предположить что у микрософта реализована некая магия и клиент взаимодействую именно с DHCP а не dns, способен менять A записи, буду пробовать в общем.

    28 марта 2018 г. 14:39
  • Использование стороннего днс для фильтрации - обязательное условие. 

    тогда:
    - а как настроить Bind для AD - это вам на форумы *nix нужно...
    сама схема с BIND - рабочая.
    28 марта 2018 г. 14:41
    Модератор