我对活动目录、Windows 服务器等的世界还很陌生,所以如果我问的一些问题有点愚蠢,我深感抱歉,但我会尝试准确解释我想在下面做什么以及我当前的设置。
我在 Raspberry Pi 上运行 Ubuntu Server,使用 kerberos 和其他软件,详情请见这个视频将其用作连接到它的四个客户端的 AD-DC。目前,这实际上是我 Pi 2 上的测试网络,在我启动 Pi 4 之前。Raspbrry Pi 的功能仅足以运行网络和验证用户登录并管理组策略等,但 DNS 解析速度极慢。
从客户端的角度来看,网络在登录和策略等方面运行完全正常。但他们注意到,进行快速谷歌搜索所需的时间急剧增加,有时搜索甚至会失败。
现在,问题是……有没有办法操作我的 AD-DC 服务器设置来管理组策略、用户、组、登录等。没有通过 AD-DC 发送外部 DNS 请求,例如 bbc.co.uk 或 google.com。我希望它们像在服务器出现之前一样被处理(通过路由器??),因为它无法处理它们,而服务器出现之前的设置可以完美地处理它们
Windows 客户端在 dns 设置中配置为使用 ADDC 作为其首选 dns 服务器(如果我更改此项,则它们将失去与域的连接并且找不到它......)并使用 8.8.8.8 google 的 dns 服务器作为其辅助服务器,但无论我是否输入此项似乎都没有影响。
如果 ADDC 服务器宕机,整个网络的所有外部 DNS 请求都会失败。就好像备份不存在一样。当 DC 宕机时,您无法从客户端访问 Google。
我很乐意提供任何信息。
第二个附加问题是,想知道为什么在这个 rapsberry pi 上使用 AD 时,samba 网络传输速度会大大降低,而不是直接安装 samba 并将其作为网络共享。从 30mbps 降到了 2mbps
答案1
对,但是...
有没有办法操作我的 AD-DC 服务器设置来管理组策略、用户、组、登录等,而无需通过 AD-DC 发送外部 DNS 请求(例如 bbc.co.uk 或 google.com)。我希望它们像服务器出现之前一样得到处理(通过路由器??),因为它无法处理它们,而服务器出现之前的设置可以很好地处理它们
是的,您可以将 AD DNS 视为普通 DNS 域。主要要求只是整个 AD 域(当然包括子域)必须是可解析的由客户端 – 但不一定需要直接;它可以是通过典型的 DNSNS委派,也可以是通过现有 Dnsmasq/Unbound/任何设置中的“转发”或“存根”区域 – 只要nslookup或dig仍然返回正确的结果。
> nslookup -q=SOA ad.example.com
> nslookup -q=SRV _kerberos._udp.ad.example.com
(因此,如果您已经有一个本地 dnsmasq 设置,所有 DNS 请求都被路由到该设置 - 它应该可以完成这项工作,使用--server=/ad.example.com/192.168.0.5. 或类似的东西。)
但请记住,客户仍然必须拥有能力直接与 AD DC 上的 DNS 服务通信,即端口 53 不能被防火墙阻隔。这是因为动态 DNS 注册更新直接发送到权威服务器(即记录的“主名称服务器”字段中的任何 DC SOA)。
话虽如此,我很惊讶 DNS 对 Pi 来说太难处理了……是的,通过 SMB 提供 GPO 之类的事情需要一些资源,但这不是一项长期运行的任务 - 一旦主机完成 GPO 的加载,Pi 应该几乎处于空闲状态,即使是完整的土豆 PC 也应该能够处理总共四台机器的 DNS 查询。
因此,在你执行计划之前,我建议你再调查一下问题到底出在哪里。真的Pi2 无法跟上负载(CPU 占用率为 100%),或者实际上是某些网络问题(数据包没有到达应去的地方且机器等待超时)?
脚注:Samba AD DC 还支持使用 BIND9 代替 Samba 的内置 DNS 服务(使用特殊的 DLZ 模块直接从 AD 加载区域)– 这可能稍微提高性能,因为 BIND 可能优化得更好。