在与 DNS 不同的 VM 上安装 Active Directory 完全不起作用 - 不确定原因

在与 DNS 不同的 VM 上安装 Active Directory 完全不起作用 - 不确定原因

不确定我在这里做错了什么。我有一台中等配置的服务器(16 核、2Ghz、32GB ECC REG RAM、6TB 存储,没有太极端的配置),我正在运行 Hyper-V(Server 2012 R2 Enterprise)来配置虚拟机。那么为什么要将 AD 与 DNS 分开呢?我想要冗余。我希望能够移动虚拟机并单独备份它们,并且任何一个虚拟机上都不要有太多的服务。

我已经为虚拟机配置了 DNS,并正确进行了设置——本质上,我已经:

  1. 为每个相关人员设置静态 IP。
  2. 在 DNS VM 上安装了 DNS 服务。
  3. 创建了正向查找区域和反向查找区域(主要区域)xyz.ca
  4. 配置区域以使用不安全和安全动态更新(我将在域控制器在线后将其更改为安全)。
  5. 在正向查找区域 (和反向 ptr) 中为 DC 创建了 A 记录
  6. 将 DC 的 DNS 服务器(网络设置)更改为新的 DNS 服务器。
  7. 检查我是否可以通过主机名从新的 DC ping dns 服务器。

当我继续在 DC 上执行 DCpromo 并取消选中“安装 DNS”选项时,一切似乎一切顺利(没有错误消息),但我没有看到 DNS 服务器上有任何变化(没有其他设置)。此外,DNS 服务器似乎无法加入域,因为它声称无法发现该域。

最后要说的是,我确实运行了 Symantec Endpoint Protection,它包含一个防火墙,并且大多数设置都设置为默认设置。我还没有尝试关闭它,但我的经验是,如果某项服务打开了 Windows 防火墙上的端口,它也会通过 Symantec 进行同样的操作。如今,企业级 AV 与 Windows 的集成非常紧密。

我有一个完全设置的模板 vhdx(只是缺少任何特殊角色和功能),我可以使用它来替换当前的 AD VM,因此再次执行此操作对我来说不会有太大的影响。

答案1

我认为您的设计存在一些不一致之处,因为如果 DNS 主区域未存储在域控制器中,则无法将该区域转换为 Active Directory 集成区域。另一方面,如果该区域不是 Active Directory 中的集成区域,则无法仅允许对该区域进行安全更新。我认为冗余是一个好主意,特别是对于 AD,但是实现此目的的最佳方法是部署两个启用了 DNS 服务器角色的 DC

以下是我认为您可能觉得有用的一些链接:

答案2

您对虚拟机角色的拆分过多。如果您打算运行 AD 集成 DNS,那么您的 AD VM 也应该托管您的 DNS 服务。如果您想要冗余,请部署两个 AD/DNS 组合虚拟机。

相关内容