Posso remover completamente o DNS do Windows em favor do BIND9 em uma rede AD?

Gostaria de remover o recurso DNS dos controladores de domínio do Windows e apontar os servidores DNS para nossos servidores BIND9.

Sei que é possível configurar a coexistência, mas isso requer um número extra de servidores DNS do Windows igual ao número de controladores de domínio na rede.

O Active Directory espera a zona _msdcs e outras coisas como _tcp, _udp; etc.

A principal questão é: como fazer o BIND9 cuidar de todos esses dados específicos do AD? E com a atualização dinâmica para tornar o AD ainda mais feliz.

Obrigado,

PS: Fazer pontos BIND9 para os servidores DNS do Windows para resolver as zonas específicas do Active Directory não é uma opção. Nós já fazemos isso ...

EDIT: Como hoje, estou executando sem o DNS do Windows. Estou escrevendo um guia sobre como fazer isso e vou atualizar este tópico.

Posso remover completamente o DNS do Windows em favor do BIND9 em uma rede AD?

Sim. Como joeqwerty apontou , desde que um servidor DNS atenda aos requisitos do DNS de suporte ao Active Directory, você poderá usá-lo como seu DNS AD.
(O BIND fornece, a Microsoft até fornece orientações às quais Joe vinculou , e você pode encontrar vários artigos no Google.

Essa não é a pergunta que você deve fazer , a pergunta que você deve fazer é:

DEVO remover completamente o DNS do Windows em favor do BIND9 em uma rede AD?

Na minha opinião pessoal, a resposta é ABSOLUTAMENTE NÃO, a menos que você goste de dor.
O AD e o DNS do Windows estão interligados - você certamente pode separá-los, mas isso não será agradável e poderá criar problemas mais tarde.

Se seu objetivo é não expor os servidores DNS do Windows (por algum motivo de segurança, minimizar a carga do servidor etc.), uma opção melhor é tornar os servidores DNS BIND escravos, replicando a (s) zona (s) DNS do AD.
Isso oculta os servidores Windows de olhares indiscretos (e carga excessiva), mas ainda permite que o Active Directory converse com os servidores DNS do Windows que ele conhece e adora.
Você pode até minimizar o número de servidores DNS do Windows se seguir este caminho, pois as únicas coisas a falar com ele devem ser o Active Directory / DCs (fazendo atualizações) e os servidores BIND que buscam essas atualizações para servir a outros sistemas.

1. "Gostaria de remover o recurso DNS dos controladores de domínio do Windows" - isso está incorreto. A função DC e a função DNS são duas funções separadas. Eles são frequentemente instalados na mesma máquina, mas isso não é um requisito.

2. "Eu sei que é possível configurar a coexistência, mas isso requer um número extra de servidores DNS do Windows igual ao número de controladores de domínio na rede". - Isso também está incorreto. Você não precisa de um número correspondente de servidores DNS para controladores de domínio.

3. Você pode usar um servidor DNS que não seja da Microsoft, desde que atenda aos requisitos do DNS no suporte ao AD. Se o Bind9 atender a esses requisitos, você poderá usá-lo.