多宿主 AD 服务器。1 个用于生产,1 个用于管理

多宿主 AD 服务器。1 个用于生产,1 个用于管理

在多租户环境中,我们有一个客户端,该客户端在我们为其管理的服务器上运行几个 Active Directory 服务器。这些服务器是多宿主的,主网络连接到客户端的 VLAN,管理网络连接到私有 VLAN(隔离和混杂端口)。备份、反恶意软件、日志检查、FIM(文件完整性监控)和 PAM 服务等服务以及未来的服务都在此管理网络上运行。客户端正在使用 Sharepoint,并且他们的 Sharepoint 实施存在问题。他们已将问题缩小到 AD 服务器,并已禁用这些管理 NIC

对于多宿主环境中的 Sharepoint,是否有任何推荐的配置,其中它仅使用其中一个 NIC,而不是两个?我们已经在 AD 服务器上完成了以下操作:

  • 配置 DNS 以仅侦听主 NIC 上的 DNS 查询
  • 配置管理 NIC 以不在 DNS 中注册连接的地址
    • 我们确保 DNS 中没有使用管理网络 IP 地址的 DNS 条目
  • 在“网络连接”窗口的“高级设置”中配置绑定,以首先列出主 NIC。

非常感谢所有其他建议。

谢谢,

答案1

“SharePoint 的问题”有点模糊,不太实用。您可能需要缩小范围。是 DNS 吗?DC 定位器流程?他们使用 DFS 吗?是身份验证流程失败,还是他们的某些自定义代码失败了?

多宿主域控制器永远不会完美运行。

还需要配置“PublishAddresses”注册表值:

Key: HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters  
Value: PublishAddresses  
Value Type: REG_MULTI_SZ  
Registry Value Data:<IP address of primary network adapter>  

如果没有此设置,您的 DNS 服务器可能会注册两个 IP 地址。有趣的是,管理适配器地址可能并不总是一致地注册,并且由于域查询中返回多个 IP 地址,因此并不总是选择相同的地址,因此重现症状可能难以实现。

即使使用 PublishAddresses,域控制器也有可能在其他网络适配器上注册自己。如果您运行以下命令,有时可能会看到此信息:

nltest /dsgetdc:domain.com /server:dcname  

您可能会注意到地址:注册有时是管理适配器。

可以通过运行启动脚本(运行 netsh 来禁用管理适配器然后重新启用它)来解决此问题,但这也可能无法 100% 可靠地工作。

另一个潜在的麻烦领域可能是 DNS 中为区域/委派注册的名称服务器。我会检查 DNS,以确保名称服务器的管理适配器的 IP 地址不存在,或与父级相同。不言而喻,域控制器名称不应使用 A/AAAA 记录注册两个 IP 地址。我建议对管理适配器的 A 记录使用不同的名称。(dcname-mgmt 或类似名称)。

您可能还想检查管理网络适配器的 IP 地址,并确认它们与任何现有站点的子网或任何“捕获全部”子网(如 10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16)无关。

答案2

据我的客户说,他们在 DNS 解析另一个 IP 地址时遇到了问题。这更像是一个时间问题,因为另一个 NIC 上的 DNS 条目和 DNS 配置在事后发生了更改。更改完成后,需要在另一台针对域控制器进行身份验证的服务器上刷新 DNS 缓存。

相关内容