我必须为公司建设新的基础设施。 目前有一个网关/NAT路由器连接到INTERNET,它提供LAN子网(DHCP,DNS,RevDNS,OpenVPN以及一些不重要的)在这个子网内,我有带有文件服务器的samba NT4 PDC和一些工作站,打印机和其他设备(在同一个子网中)。 我想将 NT4 域迁移到 AD-DC 域(或者构建一个新域,如果这更容易的话)。我知道 samba 有自己的 DNS 服务(我可以为 DC 提供 FQDN),但我不知道如何配置它。
- 我需要在 DC 或 GATEWAY 上运行 DHCP 吗?
- samba DC DNS 是否为同一子网中的网络中的其他设备提供静态 DNS?
- 我可以在一个接口上运行 samba DC 吗,还是需要第二个(它是否需要对域计算机进行 NAT)
- 那么移动设备呢,用户可以使用网络外的设备吗?
- 如何为外部用户提供 VPN 来访问文件服务器,是否需要对 DC DNS 进行特殊配置?
答案1
我需要在 DC 或 GATEWAY 上运行 DHCP 吗?
DHCP 完全独立于 Active Directory;它可以在任何您想要的系统上运行。
samba DC DNS 是否为同一子网中的网络中的其他设备提供静态 DNS?
是的;域成员计算机将自动在 AD DNS 中注册自己,您也可以通过 RSAT 或 samba-tool 添加自定义静态条目。
这些设备不必位于同一子网。
我可以在一个接口上运行 samba DC 吗,还是需要第二个(它是否需要对域计算机进行 NAT)
接口数量无关紧要。域控制器不是路由器(可能与 20 世纪 80 年代的“LAN 服务器”不同)– Active Directory DC 运行基于标准 TCP/UDP 的服务,并且设备仅在需要检索某些目录信息时才连接到它。
此外,与旧 NT4 域不同,Active Directory 不使用 NetBIOS,也没有特定的子网或路由要求。DC 只需通过常规单播 IP 即可访问。
那么移动设备呢,用户可以使用网络外的设备吗?
从技术上来说,是的。AD 协议使用标准 TCP/UDP,并且不受单个 LAN 的限制。
然而,这些设备应该出于安全原因,请使用 VPN 连接到您的网络。(某些 AD 协议(DNS、Kerberos、LDAPS)可以安全地暴露;其他协议(如 RPC 或 CLDAP)则不然。允许任何与 DC 的外部连接。
请注意,每次成功登录后,Windows 都会缓存凭据约 14 天,因此即使无法访问 DC,移动笔记本电脑也可以在短时间内工作。
如何为外部用户提供 VPN 来访问文件服务器,是否需要对 DC DNS 进行特殊配置?
与本地子网一样,VPN 不需要特殊路由,只需要普通的单播访问。
对于 DNS,主要要求是客户端设备必须能够解决AD DNS 名称。您可以通过不同的方式实现此目的 - 通过将内部 DNS 地址推送到 VPN 客户端,或通过使用全局注册名称(例如“ad.example.com”)配置域。(我建议同时执行这两种操作。)
各个网站都说客户端设备必须直接使用 AD DC DNS,但不是严格要求。AD DNS 并没有什么特别之处需要直接进行查询。