Active Directory DNS、首選 IP 和多個 NIC
我是 Active Directory 的菜鳥,我知道足以讓我們目前的設置執行良好。
我們執行一個網路農場,其中有幾個網路伺服器連接到文件伺服器以進行內容儲存。我們正在添加第二個文件伺服器並使兩者與 DFS-R 同步。這一切都很好。我還設置了一個 DFS 命名空間,以便所有 Web 伺服器都可以與該命名空間通信,從而實現自動故障轉移情況。這也很好用。
除了,這裡的問題。我們的託管服務提供商在其配置的每台伺服器上都有兩個 NIC。一個公共適配器和一個私有適配器。在我走上使用 DFS 命名空間的這條道路之前,我一直使用內部 10.xxx IP 來訪問各種伺服器(老習慣,我知道我可能會使用電腦名稱)。因此,之前的所有流量都愉快地流過私有適配器。
現在我正在嘗試使用 DFS 命名空間,因此使用非基於 IP 的命名,我注意到從我們的文件伺服器中提取的內容是通過公共適配器而不是私有適配器進入的。
問題: 如何強制 Active Directory DNS 解析為私有 10.xxx IP 而不是公共 IP? 是的,那些 10.xxx IP 已經存在於 DNS 中。
Active Directory 中的基域和每台電腦各有多個 A(和 AAAA 記錄)。有沒有辦法讓 DNS 以“首選”IP 響應?
您需要修改託管 DFS 命名空間的伺服器上的 DNS 設置,以防止它們註冊其公共 IP。在 TCP/IP 屬性的 DNS 選項卡上,在每台伺服器上,取消選中公共 NIC 的“在 DNS 中註冊此連接的地址”框。您可以手動從 DNS 中刪除不需要的條目並
ipconfig /regsiterdns在伺服器上執行以觀察您是否已成功阻止它們重新註冊。如果託管 DFS 命名空間的任何伺服器正在執行 DNS 伺服器,您還必須在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters”下設置“PublishAddresses”REG_SZ 值,以僅包含您的伺服器的 IP 地址想要發布(因為具有 DNS 伺服器角色的伺服器將預設發布其所有 IPv4 地址)。
就我個人而言,我會從你所有伺服器上的面向公眾的 NIC 上解除所有不必要的服務和客戶端的綁定,強制它們都不要在 DNS 中註冊他們的公共地址,並嘗試從 DNS 中獲取所有公共地址。我會配置任何不需要公開的服務,不要綁定公共地址,並使用 Windows 防火牆來阻止所有傳入連接,除了到明確打算面向公眾的服務。(在有人問之前,即使我在機器前面有硬體防火牆,我也會這樣做。我會像硬體防火牆不存在一樣玩。我還在伺服器的防火牆上設置了出站規則還有硬體防火牆,但那是因為我很著迷。我不希望我的盒子與世界交流,除非這是我明確允許的。)
最後,如果伺服器根本不應該提供任何公共服務,我會禁用公共 NIC(正如@murisonc 建議的那樣)並刪除 IP 地址(因為,大概,您不想為更多 IP 付費比你需要的)。