Multi-Homed AD серверы. 1 для производства и 1 для управления
В мультитенантной среде у нас есть клиент, который запускает несколько активных серверов каталогов на серверах, которыми мы управляем для них. Серверы являются многодомными для основной сети, которая подключена к VLAN клиента, и к сети управления, которая подключена к частной VLAN (изолированные и разнородные порты). Такие службы, как резервные копии, защита от вредоносных программ, проверка журналов, службы FIM (мониторинг целостности файлов) и PAM, работают в этой сети управления, а также в будущих службах. Клиент использует Sharepoint, и существуют проблемы с его реализацией Sharepoint. Они сузили проблемы с серверами AD и отключили эти NIC управления
Существуют ли рекомендуемые конфигурации для Sharepoint с многоузловой средой, в которой он использует только один из сетевых адаптеров, а не оба? Мы уже выполнили следующие действия на серверах AD:
- Настройте DNS для прослушивания только DNS-запросов на основной сетевой карте
- Настроил NIC управления, чтобы не регистрировать адреса подключения в DNS
- Мы убедились, что не было записей DNS, использующих IP-адреса сети управления в DNS
- Настроил привязки в разделе "Дополнительные параметры" в окне "Сетевые подключения", чтобы сначала перечислить основной сетевой адаптер.
Любые и все дополнительные рекомендации очень ценятся.
Спасибо,
2 ответа
"Проблемы с SharePoint" немного расплывчаты, чтобы быть полезными. Вы можете сузить это. Это был DNS? Процесс локатора DC? Они используют DFS? Это процесс аутентификации, который терпит неудачу, или у них есть некоторый пользовательский код, который терпит неудачу?
Контроллеры домена с несколькими домами никогда не будут работать идеально.
Вам также необходимо настроить значение реестра "PublishAddresses":
Key: HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Value: PublishAddresses
Value Type: REG_MULTI_SZ
Registry Value Data:<IP address of primary network adapter>
Без этой настройки ваш DNS-сервер может регистрировать оба IP-адреса. Интересной частью этого является то, что адрес адаптера управления не всегда может быть последовательно зарегистрирован, и поскольку в запросе к домену возвращается несколько IP-адресов, один и тот же адрес не всегда выбирается, поэтому воспроизведение симптома может быть затруднено.
Даже при использовании PublishAddresses контроллер домена может зарегистрироваться на другом сетевом адаптере. Иногда вы можете увидеть это, если вы запустите:
nltest /dsgetdc:domain.com /server:dcname
Вы можете заметить адрес: зарегистрированным иногда является адаптер управления.
Это можно обойти, запустив сценарий запуска, который запускает netsh, чтобы отключить адаптер управления, а затем снова включить его, но это также может работать ненадежно в 100% случаев.
Еще одна потенциальная проблема - это серверы имен, зарегистрированные для зоны / делегирования в DNS. Я бы проверил в DNS, чтобы убедиться, что IP-адреса адаптера управления отсутствуют для серверов имен или совпадают с родительскими. Само собой разумеется, что имя контроллера домена не должно иметь оба IP-адреса, зарегистрированные с использованием записи A/AAAA. Я бы рекомендовал использовать другое имя для записи А для адаптера управления. (dcname-mgmt или что-то в этом роде).
Вы также можете проверить IP-адреса ваших сетевых адаптеров управления и убедиться, что они не связаны с подсетями существующих сайтов или подсетями "перехватить все" (например, 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16).
По словам моего клиента, у них была проблема с разрешением DNS на другой IP-адрес. Это было скорее проблемой синхронизации, так как записи DNS и конфигурации DNS на другом NIC были изменены после факта. DNS-цепочки необходимо было сбросить на другом сервере, который проходил проверку подлинности на контроллере домена после внесения изменений.