我们有一个 Windows Server 2019 域控制器。我们没有备份域控制器。
Windows Server 2019 域控制器也是我们的 DHCP 服务器和 DNS 服务器。
当域控制器离线时,我们网络上的所有设备都无法访问外部互联网。当然,这是因为我们的域控制器处于离线状态,这意味着我们的 DNS 查找无法通过它。
当域控制器处于离线状态时,这也意味着 DHCP 服务器处于离线状态,这意味着新启动的设备无法获得分配的 IP 地址。我知道在线设备上的 IP 地址没有问题,直到它们需要续订租约。
我们想将 DHCP 服务器迁移到我们的 Sonicwall 防火墙。这样,如果域控制器确实离线,我们的 Sonicwall 仍然可以分配 IP 地址,并且我们的网络设备仍然可以获取 IP 地址。我将使用相同的范围对其进行配置,并确保进行了适当的预留。在域控制器的 DNS 服务器被禁用之前,我不会启用它。
由于 DHCP 服务器现在将驻留在 Sonicwall 中,因此我将能够在那里指定 DNS 设置。我计划将域控制器保留为主 DNS 服务器,但我正在考虑使用 Sonicwall 或 Google (8.8.8.8) 作为辅助 DNS 服务器。
这样做有什么问题或担忧吗?
我们之所以要这样做,是为了确保如果域控制器(主 DNS 服务器)处于离线状态,每个人仍然可以通过外部方式访问互联网。我知道内部名称解析将失败(//machine1/folder 共享)并中断。
如果这不是为我们的网络提供外部互联网访问的正确方法,在我们的主 DNS 服务器不可用(这又是我们的域控制器)的情况下,那么您能否推荐一种更好的方法来实现此目的?
答案1
解决此问题的正确方法是添加辅助域控制器,在防火墙的 DHCP 选项中添加外部 DNS 服务器作为辅助 DNS 并不是一个好主意,因为 DNS 故障转移充其量也只是不稳定的,您可能会遇到以下任何问题:
- 客户端需要很长时间才能故障转移到 8.8.8.8,因此您的客户端可能仍会遇到中断
- 在您的客户端故障转移到 8.8.8.8 后,它们将不会切换回主 DNS 服务器,直到 8.8.8.8 停止应答或重新启动。
- 即使 DC 可用,客户端也可能会随机选择使用 8.8.8.8。
此外,拥有安装了这些组件的 Microsoft DHCP/DNS 服务器或 DC 来在您的网络上提供 DHCP 请求也是非常有益的,因为这还允许您为客户端计算机动态创建 DNS 记录以及在诊断问题时非常有用的反向查找记录。