Rav*_*avi -2 domain-name-system domain-controller windows-server-2008-r2
我有一台带有 2 个 NIC 的服务器。其中一个直接连接到互联网(它在公共 IP 上)
另一个 NIC 有一个私有 IP 并连接到我们的路由器,该路由器也连接到互联网(不同的公共 IP)
现在,该服务器已设置为域控制器并在其上具有 DNS 角色。
我注意到在激活 DNS 角色后,两个 NIC DNS 设置都更改为 127.0.0.1。
该服务器的路由表(路由 -4 打印)显示了两个 NIC 的 EQUAL 指标。
DNS 角色一旦激活就处于其默认设置
中 每个将 DNS 设置为 localhost 的 NIC 是否会导致任何问题?理想情况下,我想要的只是具有私有 IP 的 NIC 将 127.0.0.1 作为其 DNS 服务器 IP?
如果路由器以某种方式出现故障,另一个 NIC 只是进入该网络的一种方式。
Joe*_*las 11
实际答案:
您的 DNS 服务器需要对您的本地域具有权威性。将“路由器”NIC 设置为将自身用作其 DNS 服务器(即其内部 IP,而不是本地主机)。您也没有提到设置 DNS 转发器,所以一定要这样做,否则您的用户会抱怨“互联网已关闭”。这实际上意味着您的 DNS 服务器没有将它们的 DNS 请求转发到链中下一个合适的 DNS 服务器。
友好的建议:
有了这个,我将关注面向 Web 的域控制器。这是一个非常糟糕的主意,这不是您执行带外访问的方式。您的域控制器是您城堡(网络)的内部要塞,您必须适当地保护它。无论出于何种原因,切勿将其暴露在 Internet 上。不要将端口转发给它。从 Internet 路由到它应该是完全不可能的。如果我可以 ping 您的域控制器,那么您做错了。消息还清楚吗?这是没有商量余地的!
如果您想以极低的预算进行带外访问,请在与要放置域控制器的位置相同的位置设置工作站或类似设备。添加第二个 NIC,然后加强它的生活日光。添加防火墙限制以仅允许少数已知 IP(例如您的房屋),并对其进行修补。祝你好运。
正如其他人所说,不要在没有防火墙保护的情况下将域控制器放在公共 IP 地址上。即使有防火墙保护它。“只是不要这样做”。(TM值)
正如其他人所说,除非您真的知道自己在做什么,否则不要多主域控制器。(而且,如果你真的知道你在做什么,你通常会尝试任何方法来避免它。)
如果您真的、真的、真的需要双宿主域控制器或任何双宿主 Windows 服务器,请不要在每个 NIC 的配置中放置默认网关。Windows不会对两个 Internet 连接进行负载平衡,甚至会警告您不支持两个默认网关。只在实际上网的网卡上设置默认网关,另一个留空。如果需要,请使用静态路由。无论如何,都要为一些路由痛苦做好准备。
如果您有双宿主 Windows 服务器,尤其是域控制器,则需要格外小心 DNS 设置。默认情况下,Windows 会将其在域 DNS 中的所有IP 地址注册为与其名称关联的 A 记录,并且域控制器还将注册大量 SRV 记录,以便其他域计算机将其识别为 DC。如果错误的 IP 地址最终出现在域 DNS 中,痛苦和痛苦就会随之而来。确保仅在您实际希望其他计算机在与该服务器通信时使用其 IP 的 NIC 上启用 DNS 注册(并请将此设置为专用 NIC)。
在 DCPROMO 之后,还安装了 DNS 角色的 DC 会自动将其 NIC 配置为使用 127.0.0.1 作为其主要 DNS 服务器。这实际上是您服务器上最无害的配置问题,但是如果您想修复它,只需将您服务器的真实 IP 地址放在那里。是的,您想用于域服务的那个。是的,私人的。
如果在这一切之后你仍然想要一个带有公共 IP 地址的双宿主 DC,至少在公共 NIC 上禁用文件和打印共享和远程桌面服务。除非你想要它正是为了 RDP 从 Internet 进入你的服务器。如果是这种情况,请考虑转行,因为 IT 管理可能真的不适合您。
| 归档时间: |
|
| 查看次数: |
6086 次 |
| 最近记录: |