我正在尝试设置一个 AD 域来管理两个 Windows Server 2008 Web 服务器之间的安全性,这两个 Web 服务器迟早会使用 NLB 来平衡网站请求。
我遇到了一个问题,我认为有一个简单的解决方案,并且取决于 DNS。
我的网站域名是 mydomain.com。两台服务器在 10.0.0.0 IP 范围的 NAT 防火墙后面运行。
我已将 AD 域设置为 ad.mydomain.com(按照 MS 和此处其他一些问题的答案所建议的)。
但是,第二台 Web 服务器不想加入该域,并给出一个错误,将问题归咎于 DNS - “确保域名输入正确”,尽管它成功查询了 SRV 记录并得到了正确的 DC - dc.ad.mydomain.com。
在 DC 上执行 dcdiag /test:dns 会出现委派错误“DNS 服务器 dc.mydomain.com 缺少 glue A 记录”。
我觉得我需要向公共 DNS 添加一些内容,以便它以某种方式了解 ad.mydomain.com。
有人能建议我向公共 DNS 添加某些内容是否正确吗?或者是否是其他内容?
非常感谢
答案1
我不清楚您的域控制器在网络上相对于 Web 服务器的位置在哪里。
这是最简单的做法:
Web 服务器应该使用由域控制器托管的 DNS 服务器(您不需要有这样做可能不太容易,但会让生活变得轻松很多。如果它们都位于同一个 NAT 防火墙后面,只需将 Web 服务器配置为使用 DC 作为其 DNS 服务器(并确保 DNS 安装在 DC 上)。您可以将 DC 上的 DNS 服务器配置为“转发”到 ISP 的 DNS 服务器,或使用“根提示”对未知名称进行根解析。
如果您的 DC 位于公共 IP 地址上的防火墙外部(<shudder>),那么您可以将粘合记录放入该 IP 地址的公共 DNS 中(并认真考虑获取 VPN)将“ad.mycompany.com”区域委托给该服务器。
如果您的 DC 位于不同的 NAT 盒后面,那么请准备好迎接大量的“乐趣”(或者只需在 Web 服务器 LAN 和 DC LAN 之间建立 VPN 即可完成)。
如果每个人都在同一个防火墙后面,只需使用 DC 上的 DNS 服务器作为每个人的 DNS,生活就会变得轻松。
答案2
好的,经过 3 到 4 天的断断续续尝试不同的方法让第二台服务器加入域后,我终于(刚刚)找到了解决方案。
我重新启动了它。
不知何故,重新启动后,通过执行与上次完全相同的操作,服务器第一次加入了域。
该服务器自从二月初安装以来就没有重新启动过,因此重新启动一定删除了某个地方(或其他地方)的某些缓存的 DNS 记录,从而允许其加入域。
任务完成!
答案3
如果您位于 NAT 后面,则无法正常工作(有很多解决方法,但相信我,RPC 并不容易)。例如,制作一个 VPN。