Domain-Name-System

從 DNS 在單獨的 VM 上安裝 Active Directory 完全無法正常工作 - 不知道為什麼

  • October 23, 2013

不知道我在這裡做錯了什麼。我有一個中端伺服器(16 核、2Ghz、32GB ECC REG RAM、6TB 儲存,沒有什麼太極端的),我正在執行 Hyper-V(Server 2012 R2 Enterprise)以配置虛擬機。那麼,為什麼要將 AD 與 DNS 分開呢?我想要冗餘。我希望能夠移動虛擬機並單獨備份它們,並且在任何一個虛擬機上都沒有太多服務。

我已經使用 DNS 配置了一個 VM,並且已經正確設置了它——基本上,我有:

  1. 為所有相關人員設置靜態 IP。
  2. 在 DNS VM 上安裝了 DNS 服務。
  3. 創建了一個正向查找區域和一個反向查找區域(主要區域)xyz.ca
  4. 將區域配置為使用非安全和安全的動態更新(稍後我將在域控制器聯機後將其更改為安全)。
  5. 在正向查找區域中為 DC 創建了 A 記錄(和反向 ptr)
  6. 將 DC 的 DNS 伺服器(網路設置)更改為新的 DNS 伺服器。
  7. 檢查我是否可以通過主機名從新 DC ping dns 伺服器。

當我繼續在 DC 上進行 DCpromo 並取消選中“安裝 DNS”選項時,一切似乎都很順利(沒有錯誤消息),但我看到 DNS 伺服器上沒有任何變化(沒有其他設置)。另外,DNS 伺服器似乎無法加入域,因為它聲稱該域不可發現。

最後一點,我確實執行了 Symantec Endpoint Protection,其中包括防火牆和大多數設置為預設設置。我還沒有嘗試關閉它,但我的經驗是,如果一個服務會打開 Windows 防火牆上的一個埠,它會通過 Symantec 做同樣的事情。如今,與企業級 AV 和 Windows 的集成非常緊密。

我有一個完全設置好的模板 vhdx(只是缺少任何特殊角色和功能),我可以用它來替換目前的 AD VM,所以重新做這件事並不會讓我的鼻子掉太多皮膚。

我認為您的設計存在一些不一致之處,因為如果該區域未儲存在域控制器中,則您無法將 DNS 主要區域轉換為 Active Directory 集成區域。另一方面,如果該區域不是 Active Directory 中的集成區域,則無法僅允許對該區域進行安全更新。我認為擁有冗餘是一個好主意,特別是對於 AD,但實現這一點的最佳方法是部署兩個啟用 DNS 伺服器角色的 DC

以下是一些我認為您可能會發現有用的連結:

引用自:https://serverfault.com/questions/548089