情况:
- 我们有需要测试的 DR 站点
DR 站点上混合有 Linux 和 Windows 主机。如果发生灾难时生产站点中的 SERVER 不可用,则 DR 上的 SERVER_DR 将会打开并加入同一个 Windows 域。这样做是为了在主站点不可用而我们不想删除 AD 中 SERVER 的原始记录的情况下完成的。
我试图解决的问题是 DR 站点中的名称解析。进程和脚本使用 DNS 名称 SERVER,因此在 DR 站点中对 SERVER 的请求应转换为 SERVER_DR。我们无权在 Windows DNS 上执行任何操作。
我的想法是使用 BIND 来解决这个问题。DR 中的主机应该能够使用 AD 进行身份验证。事实上,他们不需要访问 Windows 域中 DR 站点之外的任何其他东西,这应该可以简化这个问题。
DR 主机需要访问的服务主要是文件共享和 SQL 服务器。我认为 SQL 服务器可能存在问题,因为它们使用 SPN
这带来了使用 BIND 来处理 DR 站点中由 BIND 持有的 our.domain.com 区域的想法,但是如果我没记错的话,当 Windows DR 主机需要针对 AD 进行身份验证时,我可以看到可能出现的问题,因为它们需要使用未加标记的记录。由于我之前提到的原因,我们无法从 AD 委派区域。
解决这个问题是否值得?我的一位同事建议为每个 Windows DR 主机使用 hosts 文件。但是它看起来很丑陋,因为这样的文件并不多,而且我设置 BIND 的时间可能会被浪费。
答案1
HOSTS 文件无法使 AD 身份验证正常工作。AD 身份验证需要只有 DNS 服务器才能提供的 SRV RR(因为 HOSTS 文件只是 A RR)。
请看这里:我之前给出的有关使用 BIND 支持 AD 的回答:使用 BIND9 和 DHCPD 支持 Windows 域
如果您的 Windows 服务器计算机名称不同,某些软件将无法正常工作。只需尝试将非 DR 名称“别名”为具有不同计算机名称设置的 Windows 服务器即可,这对于某些协议有效,但其他协议将失败(例如,AD 中的 SPN 与计算机名称“绑定”)。
我不清楚为什么不能在 DR 站点中使用 Windows DNS。我认为您可以启动 Windows DNS 服务器,如果情况变得更糟,则将 _msdcs.domain.com 区域委托给现有 BIND 基础架构中的 Windows DNS 服务器。
我想我需要更多地了解您想要完成的目标以及为什么会有这些限制,但总的来说,我会努力使 DR 环境尽可能接近生产环境,以便您在将操作转移到 DR 环境时只需做最少的工作。
答案2
没有一种简单的方法可以让 DR 站点上的主机将“SERVER”解析为 SERVER_DR 的 IP 地址,同时仍保持所有 AD DNS 正常工作。您需要做的是为所有服务器引用使用别名。
我通常的方法是创建一个未集成 AD 的新域(例如 mydomain.site)。这样您就可以为不同的 DNS 服务器使用单独的不同区域文件。然后将所有对您服务器的引用更改为 server.mydomain.site。这样您的用户就可以使用单个服务器名称,该名称可解析为适合该站点的任何名称。
NB,要使 Windows 文件共享与 CNAME 别名配合使用,您需要为 LanManServer 服务添加注册表项。请参阅http://support.microsoft.com/kb/281308了解详情。这适用于 W2k8 以及 2k 和 2k3。
我强烈建议您使用 Windows DNS 来托管 .site 域。如果您真的无法说服系统管理员提供帮助,那么您可以使用 BIND 并将 Windows DNS 服务器配置为转发器。然后 BIND 将解析 .site 域,而 Windows 将用于包括 AD 域在内的所有其他域。但是,这会使维护变得更加复杂,因此如果可以的话,我会避免这样做。
JR
PS 关于“NB for Windows 文件共享与 CNAME 别名配合使用”
使用别名的目的是,您可以使用 UNC 名称(如 \myserver.mydomain.site\share)浏览共享或映射网络驱动器,其中名称“myserver.mydomain.site”解析为目标服务器的 IP 地址,并可解析为不同站点的不同 IP 地址。默认情况下,除非服务器名称与实际服务器名称匹配,否则 LanManServer 服务不允许浏览,并且您会收到一条错误消息,例如“网络上存在重复的名称”。这样做是为了提高安全性。我提到的 KB 文章描述了如何关闭名称检查,以便上述 UNC 名称可以正常工作。
实际上我经常使用这个技巧,因为它可以很容易地将文件共享移动到不同的服务器。它不是 DFS 的替代品,但可能是一个有用的技巧。