避免在双网络环境中使用多宿主域控制器

避免在双网络环境中使用多宿主域控制器

我正在尝试接管旧的基础设施并清理它,但是在决定新的架构时遇到了一些问题。

我们在一个机架中安装了大约十几台测试/生产服务器,这些服务器之间有两个并行网络。每台服务器都有两个网卡,并连接到两个网络。

其中一个网络是外部网络,具有公共互联网 IP 和互联网访问。另一个是本地网络,具有内部 IP,用作快速通道内部通信网络,用于传输备份和连接到数据库,而不会受到影响/影响外部网络的带宽。

我想在网络中设置一个域控制器,我最初的计划是在内部网络中设置它,这样所有的 AD 通信都通过内部局域网发送,但如果我想让 AD 具有互联网访问权限(用于更新等)它还必须连接到外部网络,这将使其成为多宿主的。

或者,我可以将其连接到外部网络仅有的,但这意味着 AD 通信也会通过外部网络进行,并且分配给服务器的 DNS 名称将指向外部 IP,而这并不是我真正想要的。此外,在这种情况下,所有服务器都会将外部网络适配器标记为域适配器(理想情况下,我希望外部适配器是“公共”网络,而内部适配器是“私有”/“域”网络)

将 DC 设置为多宿主服务器是唯一合理的解决方案吗?我觉得我忽略了一些非常简单的事情

PS 需要注意:我不需要从互联网访问 DC,并且 DC 创建的 DNS 名称不应该是公开的,它们仅用于内部寻址。

PPS 我的计划是在 DC 上设置两个 NIC(两个网络上的静态 IP),阻止通过外部网络适配器传入服务器的任何连接(仅用于互联网访问),并将本地 DNS 服务器绑定到内部 IP。网络中的每台服务器都将通过内部 IP 访问 DC,以避免解析问题。这听起来够好吗?

答案1

我认为你的计划有缺陷。

从我的角度来看,“正确”的做法是:

  • 在所有这些之前安装防火墙
  • 在所有这些前面放一个路由器(可以与 FW 相同,当然取决于情况)
  • 将所有服务器设为“内部”,当然你仍然可以将它们隔离到多个网络中
  • 如果不需要带宽,请禁用/拆除辅助网卡,或将它们中继以进行故障转移
  • 将必要的端口转发到必要的服务器

现在,您只需在网络之间进行“内部”路由,而无需对它们进行多宿主。

答案2

具有多个 IP 地址的域控制器几乎永远不是解决任何事物。它造成的问题比它解决的问题还多。DNS 的问题尤其严重,因为“ListenAddresses”只是问题的一半。您还需要配置 PublishAddresses 值,如果您不这样做,您的域控制器会很乐意随机分发错误的地址,直到您失去理智或回到这里询问它为什么不起作用。

此外,允许关键服务器(如域控制器)访问互联网通常不是一个好主意,即使只是传出访问。如果您遇到入侵,恶意软件做的第一件事就是通过互联网打电话回家并邀请他们所有的朋友。需要更新?使用另一台计算机上的内置服务器更新角色。

相关内容