我有一台 Windows Server 2008 R2 计算机,它是 Active Directory:域服务下的域控制器,我还想在这台机器上运行很多东西。我主要在学习如何连接所有东西,而不太关心企业冗余的东西。
无论如何,我现在遇到的问题是 AD:DS 需要 DNS。我们也在这台机器上托管 DNS,使用不同的 IP 地址。我们有 8 个地址面向数据中心的内部网络,然后有 8 个地址面向互联网。
我希望看到每个地址的设置都是这样的。每个项目都是一个单独的地址并用于该地址。
- 为网站和内部机器提供权威 DNS,为其他所有机器提供转发服务。为认证机构提供 OCSP 地址。
- 网站 IIS
- VPN
现在,随之而来的问题是管理所有需要管理、监听或忽略的地址。Windows DNS 似乎喜欢自动关联地址,并为它们赋予与 DNS 所运行的域名相同的域名,因为这在具有专用 DNS 的大型系统中是有意义的。但是,我希望这台机器几乎每个 IP 地址都有不同的域,我真的不希望 Windows DNS 覆盖或重新制作已删除的 A 和 AAAA 记录。它甚至将私有 IP 地址添加到 DNS,而这些地址实际上并不需要存在。
我如何才能更好地管理不同的地址和服务?DNS 问题是我现在的首要任务,之后,我不知道如何解决从一台机器在不同地址上管理多个域和 VPN 的问题。似乎由于所有东西都不是为在一台机器上运行而构建的,所以这会很困难。但我正在学习,所以这一切都很有趣。
任何意见都将非常感谢。
答案1
对于 DNS,取消选中“在 DNS 中注册此连接的地址” - 这将停止在 DNS 中自动注册 IP,并且您可以手动定义记录,而不会受到自动更新的干扰。
DNS 服务还会将其绑定的 IP 注册到 DNS 中,因为它会自动填充NS记录和相关A记录;将 DNS 服务配置为仅绑定到其所使用的特定 IP(服务器属性 -> 接口)。
至于如何控制服务的 IP 绑定,每个应用程序更改绑定的地址的方法都不同。例如,对于 IIS,请参阅这个问题。
让所有这些不相关的应用程序在同一个操作系统中运行可能并不理想;一个应用程序的问题、维护需求或安全漏洞都有可能破坏服务器上的每个服务,并且在同一设备上运行所有公共和私有服务时可能会遇到信息泄露的问题(例如,在可公开访问的权威 DNS 服务器上运行内部 DNS)。
根据服务器的功能角色进行拆分,可最大程度地减少服务中断和安全问题的风险。虚拟化!