我想运行 Samba ADDC。我在路由器上配置了网络(带有 bind 和 isc-dhcp 的 Linux),并管理一些子网(LAN / WAN / DMZ / 等)。
我想在一个子网上创建 ADDC,但我想在同一子网中拥有其他一些设备。我为该子网指定了名称“.subnet.intranet”,并在其中设置了一些设备。Samba ADDC 有自己的 DNS 服务器,我可以使用这两个 DNS 吗?我是否需要为 ADDC 设置其他或不同的子网名称?我是否需要为 ADDC 创建单独的 vlan 和子网?我有 IPcam、打印机和一些非 Windows 设备。它可以成为这个域的一部分(在同一个子网中),还是需要将其移出,或者如何做才是正确的?
有人可以向我解释如何正确使用“混合”设备组建网络吗?
当我将带有 ADDC 的 PC 移到公司外部(.subnet.intranet)时会发生什么情况,我是否仍然可以登录并在本地工作(登录域帐户并在本地文档上工作,将来我会为 samba 共享和 RDP 启用 openVPN)?
目前我使用 NT4 域,运行正常,但我想升级到 ADDC。子网中的所有 PC 都是 win10pro 或 win11pro。
答案1
首先,AD没有什么与子网或 VLAN 有关。是的,有一些 AD 功能(例如“站点”)关心子网边界,但总体而言,它根本不关心您的网络拓扑 - 它只关心域名和 TCP 连接。例如,我们有大约 20 个子网,它们都包含同一个 AD 域中的机器,并且它们都与位于其自己的“服务器”子网中的相同 AD DC 通信。(如果您愿意,您可以在同一个子网上拥有多个域而不会出现任何问题。)
只有旧的 NT4 样式域才关心 VLAN 和子网(因为它们依赖 NetBIOS 进行操作),但自从 Active Directory 推出以来,这些已经过时了 20 多年。如今,Active Directory 中没有任何依赖 NetBIOS 的内容;DC 定位器发现完全通过 DNS 完成。
关于 DNS 记录:是的,您可以自由地将任何子域添加到您的 AD 域区域 - 只要您不修改内置内容(例如 SRV 记录)。大多数特定于 AD 的 DNS 条目实际上都存储在单独的子域区域 (_msdcs) 中。因此,如果您有ad.intranetAD 域,您只需在 Windows 中打开“DNS 服务器”管理控制台(或使用 Linux 中的 samba-tool)并创建,laptop.ad.intranet无论它是否是 AD 机器。您甚至可以将整个子域(使用“NS”记录)委托给单独的服务器。
关于 DNS 服务器:主 AD 域需要由 Samba 提供服务。如果方便,您可以使用内置的 Samba DNS 服务器,也可以使用 BIND9 DNS 服务器(通常性能更好)– Samba 附带一个 DLZ 模块,允许 BIND 直接从 Active Directory 读取区域。
您的 LAN 主机不一定需要直接使用 Samba DNS 服务器;它们可以使用任何解析器,只要它知道如何找到 AD 域即可。因此,例如,您可以拥有一个中央 Unbound 解析器,该解析器配置为将“ad.intranet”查询转发给 Samba。(但它不得不知道如何解析“ad.intranet”——AD 客户端设备不能直接凭空提取 DNS 数据。