我有一台带有 2 个 NIC 的服务器。其中一个直接连接到互联网(它在公共 IP 上)
另一个 NIC 具有私有 IP 并连接到我们的路由器,该路由器也连接到互联网(不同的公共 IP)
现在,此服务器已设置为域控制器并具有 DNS 角色。
我注意到在激活 DNS 角色后,两个 NIC 的 DNS 设置都更改为 127.0.0.1。
该服务器的路由表(路由 -4 打印)显示两个 NIC 的度量相等。DNS
角色一旦激活就处于其默认设置
将每个 NIC 的 DNS 设置为 localhost 是否会导致任何问题?我理想情况下想要的是只有具有私有 IP 的 NIC 以 127.0.0.1 作为其 DNS 服务器 IP?
另一个 NIC 只是在路由器出现故障时进入该网络的一种方法。
答案1
实际答案:
您的 DNS 服务器需要对您的本地域具有权威性。将“路由器”NIC 设置为使用其自身作为其 DNS 服务器(即其内部 IP,而不是本地主机)。您也没有提到设置 DNS 转发器,因此请确保您这样做,否则您的用户会抱怨“互联网已关闭”。这实际上意味着您的 DNS 服务器不会将他们的 DNS 请求转发到链中的下一个合适的 DNS 服务器。
友情建议:
好了,我同意大家对面向 Web 的域控制器的担忧。这是一个非常糟糕的想法,这不是您执行带外访问的方式。您的域控制器是您的城堡(网络)的内部堡垒,您必须对其进行适当的保护。切勿出于任何原因将其暴露在互联网上。不要将端口转发给它。从互联网路由到它应该是完全不可能的。如果我可以 ping 通您的域控制器,那么您就做错了。信息清楚了吗?这是不容商榷的!
如果您想以极低的预算实现带外访问,请在您要放置域控制器的位置设置工作站或类似设备。添加第二个 NIC,然后对其进行强化。添加防火墙限制以仅允许少数已知 IP(如您的房子)并对其进行修补。祝您好运。
答案2
TL;DR:不要将 DC 设置为多宿主,不要将 DC 放在可公开访问的 IP 地址上,不要同时做这两件事。但如果你仍然想要做这些事情,至少要确保你真的知道自己在做什么。
正如其他人所说,不要将域控制器放在没有防火墙保护的公共 IP 地址上。甚至和防火墙保护它。“别这么做”。(TM)
正如其他人所说的那样,除非您真的知道自己在做什么,否则不要将域控制器设置为多宿主。(并且,如果您真的知道自己在做什么,通常会尝试任何方法来避免这种情况。)
如果你真的真的,真的需要双宿主域控制器或任何双宿主 Windows 服务器,不要在每个 NIC 的配置中放置默认网关。Windows 是不是会对两个 Internet 连接进行负载平衡,甚至会警告您不支持两个默认网关。仅在实际用于访问 Internet 的 NIC 上设置默认网关,另一个留空。如果需要,请使用静态路由。无论如何,请做好路由麻烦的准备。
如果你有双宿主 Windows 服务器,尤其如果它是域控制器,则需要特别小心 DNS 设置。Windows 默认会注册全部域 DNS 中其 IP 地址的记录作为与其名称关联的 A 记录,域控制器还将注册大量 SRV 记录,以便其他域计算机将其识别为 DC。如果错误的 IP 地址最终出现在域 DNS 中,痛苦和折磨将随之而来。确保仅在您实际希望其他计算机在与该服务器通信时使用的 IP 的 NIC 上启用 DNS 注册(并且请使其成为私有 NIC)。
在 DCPROMO 之后,安装了 DNS 角色的 DC 会自动将其 NIC 配置为使用 127.0.0.1 作为其主 DNS 服务器。这实际上是服务器上最无害的配置问题,但如果您想要修复它,只需在此处输入服务器的真实 IP 地址即可。是的,您要用于域服务的那个。是的,私有的那个。
如果经历了这一切仍然想要一个具有公共 IP 地址的双宿主 DC,至少要禁用公共 NIC 上的文件和打印共享以及远程桌面服务。除非你想要它确切地以便从 Internet 通过 RDP 进入您的服务器。如果是这种情况,请考虑转行,因为 IT 管理可能真的不适合你。