DNS Active Directory, предпочтительные IP-адреса и несколько сетевых карт

Question

DNS Active Directory, предпочтительные IP-адреса и несколько сетевых карт

Я новичок в Active Directory, и я знаю достаточно, чтобы наша текущая установка работала нормально.

Мы запускаем веб-ферму с несколькими веб-серверами, подключающимися к файловому серверу для хранения контента. Мы добавляем второй файловый сервер и синхронизируем их с DFS-R. Это все прекрасно работает. Я также настроил пространство имен DFS, чтобы все веб-серверы могли общаться с пространством имен, чтобы сделать возможной ситуацию автоматического переключения при сбое. Это тоже прекрасно работает.

За исключением вот проблемы. У нашего хостинг-провайдера есть два сетевых адаптера на каждом сервере, который он предоставляет. Общедоступный адаптер и частный адаптер. До того, как я пошел по этому пути использования пространств имен DFS, я всегда использовал внутренние IP-адреса 10.xxx для доступа к различным серверам (старая привычка, я знаю, что мог использовать имя компьютера). Поэтому весь трафик до сих пор благополучно проходил через частные адаптеры.

Теперь, когда я пытаюсь использовать пространства имен DFS и, следовательно, именование не на основе IP, я заметил, что содержимое, извлекаемое с наших файловых серверов, поступает через общедоступный адаптер вместо частного.

Вопрос: как заставить DNS Active Directory разрешать частные IP-адреса 10.xxx вместо общедоступных IP-адресов? Да, эти 10.xxx IP уже существуют в DNS.

Базовый домен и каждый компьютер в Active Directory имеют несколько A (и записей AAAA) за штуку. Есть ли способ заставить DNS отвечать "предпочтительным" IP?

3

domain-name-system active-directory windows-server-2008-r2 dfs-r

Источник

Ken Randall 15 авг '11 в 21:36

1 ответ

Решение

Другие вопросы по тегам domain-name-system active-directory windows-server-2008-r2 dfs-r

Evan Anderson 15 авг '11 в 21:45 2011-08-15 21:45 · Accepted Answer · 2011-08-15 21:45

Вам нужно изменить настройки DNS на серверах, на которых размещено пространство имен DFS, чтобы они не могли зарегистрировать свои общедоступные IP-адреса. В свойствах TCP/IP на вкладке DNS на каждом из этих серверов снимите флажок "Зарегистрировать адрес этого подключения в DNS" для общедоступной сетевой карты. Вы можете вручную удалить ненужные записи из DNS и запустить ipconfig /regsiterdns на серверах, чтобы проверить, успешно ли вы помешали им пройти повторную регистрацию.

Если на каком-либо из серверов, на которых размещено пространство имен DFS, работают DNS-серверы, вам также необходимо установить значение REG_SZ "PublishAddresses" в разделе "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters", чтобы включить только IP-адрес сервера, на котором вы работаете. хочу опубликовать (поскольку серверы с ролью DNS-сервер по умолчанию публикуют все свои адреса IPv4).

Лично я бы отсоединил все ненужные сервисы и клиентов от общедоступных сетевых адаптеров на всех ваших серверах, заставил их всех не регистрировать свои публичные адреса в DNS и, черт побери, попытался получить все публичные адреса из DNS. Я бы настроил любые службы, которые не должны быть общедоступными, чтобы они не привязывались к общедоступным адресам, и использовал брандмауэр Windows для предотвращения всех входящих подключений, кроме служб, которые явно предназначены для общедоступных. (Прежде чем кто-нибудь спросит, я бы сделал это, даже если бы у меня был аппаратный брандмауэр перед машинами. Я бы играл так, как будто не было аппаратного брандмауэра. Я бы также включил исходящие правила на брандмауэры серверов и аппаратный брандмауэр тоже, но это потому, что я одержим. Я не хочу, чтобы мои коробки общались с миром, если это явно не разрешено.)

Наконец, если сервер вообще не должен предоставлять какие-либо общедоступные услуги, я бы отключил общедоступную сетевую карту (как предполагает @murisonc) и удалил IP-адрес (потому что, по-видимому, вы не хотите платить за дополнительные IP-адреса). чем нужно).