嘿，我来帮你梳理下这些问题的实操解决方案，都是基于AD和Infoblox集成的实际部署经验总结的：

一、导入DNS记录后，如何实现Infoblox的动态DNS更新？ #

要让Infoblox支持AD环境下的动态DNS更新，核心是把它配置成和AD域深度集成的DNS服务器，具体步骤如下：

• 首先，确保Infoblox设备已经成功加入你的Active Directory域。这一步是基础，只有加入域后，它才能和AD域控进行Kerberos身份验证，支持安全的动态更新。
• 在Infoblox控制台中，找到你导入的AD域对应的DNS区域，进入编辑界面，将Dynamic Update（动态更新）选项设置为Secure Only（仅安全更新）。这样只有AD授权的主体（比如域成员机器、域控制器、域用户）才能发起DNS记录的更新，避免非授权的篡改。
• 验证Kerberos通信是否正常：可以在Infoblox的AD集成状态页面，查看是否成功获取到域的信任关系，以及对应的服务主体名称（SPN）是否已自动注册。如果有问题，优先检查域控和Infoblox之间的时间同步——Kerberos对时间差很敏感，不能超过5分钟。
• 测试动态更新效果：找一台域内的成员机器，执行ipconfig /registerdns命令手动触发DNS注册，然后去Infoblox的DNS记录列表里查看，这台机器的A/AAAA记录是否已经自动更新（如果IP有变化的话）。如果成功，说明动态更新配置生效了。

二、配置完成后，用户认证是否会正常工作？ #

只要Infoblox的DNS能正确返回AD域的关键服务记录，用户认证就不会受影响，核心要注意这几点：

• 确认导入的DNS记录中，AD的SRV服务记录完整无缺。这些记录包括_ldap._tcp.dc._msdcs.你的域名、_kerberos._tcp.dc._msdcs.你的域名、_ldap._tcp.你的域名等，它们是客户端查找域控、KDC服务器的关键。你可以在客户端执行nslookup -type=SRV _ldap._tcp.dc._msdcs.你的域名命令测试，看是否能返回所有域控的地址。
• 确保Infoblox的DNS区域和AD域的DNS数据保持同步。当你把区域设置为AD集成模式后，Infoblox会自动从AD复制DNS的变更（包括域控的新增/删除、服务记录的更新），所以关键的认证相关记录会一直是最新的。
• 建议逐步切换客户端DNS：不要一下子把所有客户端的DNS都切到Infoblox，可以先选几台测试机验证，用户登录、访问域资源都正常后，再批量切换，这样能降低风险。

三、新机器加入域时，指向Infoblox DNS是否可行？ #

完全没问题，只要做好这两点：

• 新机器的首选DNS服务器必须设置为Infoblox的IP地址。这样当它发起域加入请求时，会先向Infoblox查询域的SRV记录，找到可用的域控。
• 确保Infoblox的DNS已经开启了安全动态更新（就是第一点里设置的Secure Only）。新机器加入域成功后，会自动向Infoblox注册自己的DNS记录，你可以在Infoblox的控制台里查到这台机器的A记录和对应的PTR记录（如果开启了反向区域的话）。
• 测试方法：拿一台全新的机器，把DNS设为Infoblox的IP，然后通过系统设置的“加入域”功能操作，看是否能顺利完成加入流程，之后检查Infoblox的DNS记录里是否有这台机器的条目。

备注：内容来源于stack exchange，提问作者Kevin