В мультитенантной среде у нас есть клиент, на котором запущено несколько серверов Active Directory на серверах, которыми мы для них управляем. Серверы являются многосетевыми для основной сети, которая подключена к клиентской VLAN, и сети управления, которая подключена к частной VLAN (изолированные и случайные порты). В этой сети управления работают такие службы, как резервное копирование, защита от вредоносного ПО, проверка журналов, FIM (мониторинг целостности файлов) и PAM, а также будущие службы. Клиент использует Sharepoint, и есть проблемы с их реализацией. Они сузили круг проблем до серверов AD и отключили эти управляющие сетевые карты.
Существуют ли какие-либо рекомендуемые конфигурации для Sharepoint с многосетевой средой, в которой используется только один из сетевых адаптеров, а не оба? На серверах AD мы уже выполнили следующее:
Любые дополнительные рекомендации приветствуются.
Спасибо,
По словам моего клиента, у них возникла проблема с преобразованием DNS на другой IP-адрес. Это скорее проблема времени, поскольку записи DNS и конфигурации DNS на другом сетевом адаптере были изменены постфактум. После внесения изменений необходимо было сбросить изменение DNS на другом сервере, который проверял подлинность на контроллере домена.
«Проблемы с SharePoint» немного расплывчаты, чтобы быть полезными. Вы можете сузить круг вопросов. Это был DNS? Процесс поиска DC? Они используют DFS? Это сбой процесса аутентификации, или у них есть какой-то нестандартный код, который дает сбой?
Контроллеры домена с несколькими сетями никогда не будут работать идеально.
Вам также необходимо настроить параметр реестра «PublishAddresses»:
Key: HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Value: PublishAddresses
Value Type: REG_MULTI_SZ
Registry Value Data:<IP address of primary network adapter>
Без этой настройки ваш DNS-сервер может регистрировать оба IP-адреса. Интересной частью этого является то, что адрес адаптера управления не всегда может быть последовательно зарегистрирован, а поскольку в запросе для домена возвращается несколько IP-адресов, не всегда выбирается один и тот же адрес, поэтому воспроизведение симптома может быть неуловимым.
Даже с PublishAddresses контроллер домена может зарегистрироваться на другом сетевом адаптере. Иногда вы можете увидеть это, если запустите:
nltest /dsgetdc:domain.com /server:dcname
Вы можете заметить, что Адрес: зарегистрированный иногда является адаптером управления.
Это можно обойти, запустив сценарий запуска, который запускает netsh, чтобы отключить адаптер управления, а затем снова включить его, но это также может не работать надежно в 100% случаев.
Другой потенциальной областью проблем могут быть серверы имен, зарегистрированные для зоны / делегирования в DNS. Я бы проверил DNS, чтобы убедиться, что IP-адрес адаптера управления для серверов имен или родительского адреса не встречается. Само собой разумеется, что имя контроллера домена не должно иметь оба IP-адреса, зарегистрированные с использованием записи A / AAAA. Я бы рекомендовал использовать другое имя для записи A для адаптера управления. (dcname-mgmt или что-то в этом роде).
Вы также можете проверить IP-адреса ваших сетевых адаптеров управления и убедиться, что они не связаны с подсетями каких-либо существующих сайтов или с какими-либо подсетями «поймать все» (например, 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16).