我们的 Windows Server 2019 需要响应仅位于查询接口子网上的 IP 地址的请求。
我们有两个 DC。每个 DC 有 3 个接口。每个接口都是自己的子网。我相信这是一种脑裂类型的设置,但有 3 个接口而不是 2 个。
目前,DC 正在使用给定主机名的所有 IP 来回复请求。查询实际 DC 的 FQDN 时会出现问题。它会返回 3 个地址。因此,如果主机正在从子网查询,并从 DC 获取 3 个地址,则它可能使用了错误的地址。
dc01.our.domain.
int1 = 10.10.11.53/24
int2 = 10.10.12.53/24
int3 = 10.10.13.53/24
dc02.our.domain.
int1 = 10.10.11.54/24
int2 = 10.10.12.54/24
int3 = 10.10.13.54/24
如果给定主机(假设为 10.10.11.13)执行nslookup dc01.our.domain,我希望 DC 仅响应10.10.11.53/24。但是,DC 会返回其拥有的所有三个地址。
我该如何解决这个问题?有办法吗?我读过有关条件转发的文章,但不知道它是如何工作的。我也读过有关 DNS 策略的文章,但我也搞不清楚。
我怎样才能做到这一点?
编辑: 我需要说清楚。目前我们只有一个主区域和一个域。我是否需要为每个子网接口创建单独的域/区域?
还发现了这篇文章,其中详细描述了我相信的相同问题 物理分离网络中多宿主设备的 DNS 设置
答案1
我要回答这个问题。答案是不要将域控制器配置为多宿主系统。这只会导致问题。主要问题是 DNS 在多个地址接口上提供服务。如果不是所有这些接口都可由客户端路由,它们可能会收到系统的多个地址。当您尝试将主机加入域时,肯定会发生此问题。域加入过程将查询 DC 的 IP。如果 DNS 服务器返回多个地址,则只会选择一个,并且该地址是否可路由并不重要。
所以最后,不要尝试配置多宿主域控制服务器 DNS。
为了解决这个问题,我必须
- 在需要 DNS 的子网中部署新的 DNS 服务器。这可能是一个绑定服务器,但我选择再次部署一对 Windows AD DC。
- 将所有需要 DNS 的系统移至这些系统。
- 禁用多宿主接口上的 DNS 托管
- 删除其他接口。只留下一个。