Я новичок в Active Directory и знаю достаточно, чтобы наша текущая установка работала нормально.
Мы запускаем веб-ферму с несколькими веб-серверами, подключенными к файловому серверу для хранения контента. Мы находимся в процессе добавления второго файлового сервера и их синхронизации с DFS-R. Все это отлично работает. Я также настроил пространство имен DFS, чтобы все веб-серверы могли взаимодействовать с пространством имен, чтобы сделать возможной ситуацию автоматического переключения при отказе. Это тоже отлично работает.
КРОМЕ, вот в чем проблема. У нашего хостинг-провайдера есть два сетевых адаптера на каждом сервере, который он предоставляет. Общедоступный адаптер и частный адаптер. Прежде чем я пошел по этому пути использования пространств имен DFS, я всегда использовал внутренние IP-адреса 10.x.x.x для доступа к различным серверам (старая привычка, я знаю, что могу использовать имя компьютера). Таким образом, весь трафик до сих пор успешно проходил через частные адаптеры.
Теперь, когда я пытаюсь использовать пространства имен DFS и, следовательно, именование не на основе IP, я заметил, что контент, загружаемый с наших файловых серверов, поступает через общедоступный адаптер, а не через частный адаптер.
Вопрос: Как я могу заставить Active Directory DNS разрешать частные IP-адреса 10.x.x.x вместо общедоступных IP-адресов? Да, эти IP-адреса 10.x.x.x уже существуют в DNS.
Базовый домен и каждый компьютер в Active Directory имеют несколько записей A (и AAAA). Есть ли способ получить ответ DNS с «предпочтительным» IP-адресом?
Вам необходимо изменить настройки DNS на серверах, на которых размещено пространство имен DFS, чтобы они не регистрировали свои общедоступные IP-адреса. В свойствах TCP / IP на вкладке DNS на каждом из этих серверов снимите флажок «Зарегистрировать адрес этого подключения в DNS» для общедоступной сетевой карты. Вы можете вручную удалить нежелательные записи из DNS и запустить ipconfig /regsiterdns на серверах, чтобы убедиться, что вы успешно предотвратили их повторную регистрацию.
Если на каком-либо из серверов, на которых размещается пространство имен DFS, работают DNS-серверы, вам также необходимо установить значение REG_SZ «PublishAddresses» в разделе «HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Parameters», чтобы включить только IP-адрес сервера, который вы хотите опубликовать (поскольку серверы с ролью DNS-сервера по умолчанию публикуют все свои IPv4-адреса).
Лично я бы отключил все ненужные службы и клиентов от общедоступных сетевых адаптеров на всех ваших серверах, заставил бы их всех не регистрировать свои общедоступные адреса в DNS и попытался бы, черт возьми, получить все общедоступные адреса из DNS. Я бы настроил любые службы, которые не должны быть общедоступными, чтобы не привязываться к общедоступным адресам и использовать брандмауэр Windows для предотвращения всех входящих подключений. Кроме к службам, которые явно предназначены для публичного доступа. (Прежде чем кто-нибудь спросит, я бы сделал это, даже если бы у меня был аппаратный брандмауэр перед машинами. Я бы играл так, как будто аппаратного брандмауэра даже не было. Я также установил правила исходящего трафика на брандмауэрах серверов. И аппаратный брандмауэр тоже, но это потому, что я одержим. Я не хочу, чтобы мои ящики разговаривали с миром, если это не то, что я явно разрешил.)
Наконец, если сервер не должен предоставлять любой общедоступные службы, я бы отключил общедоступную сетевую карту (как предлагает @murisonc) и удалил IP-адрес (потому что, по-видимому, вы не хотите платить за больше IP-адресов, чем вам нужно).