Назад | Перейти на главную страницу

Установка Active Directory на отдельную виртуальную машину от DNS не работает полностью - не знаю, почему

Не уверен, что я здесь делаю не так. У меня есть сервер среднего уровня (16 ядер, 2 ГГц, 32 ГБ ECC REG RAM, 6 ТБ хранилища, ничего особенного), на котором я запускаю Hyper-V (Server 2012 R2 Enterprise) для подготовки виртуальных машин. Так почему же AD отделен от DNS? Мне нужна избыточность. Я хочу иметь возможность перемещать виртуальные машины и создавать их резервные копии по отдельности и не иметь слишком много служб на одной виртуальной машине.

Я уже подготовил виртуальную машину с DNS и правильно ее настроил - по сути, у меня есть:

  1. Настройте статические IP-адреса для всех участников.
  2. Установил службу DNS на ВМ DNS.
  3. Создана зона прямого просмотра и зона обратного просмотра (основная зона) xyz.ca
  4. Настроил зоны для использования незащищенных и безопасных динамических обновлений (я изменю это на безопасное позже, когда контроллер домена будет в сети).
  5. Создал запись A для DC в зоне прямого просмотра (и обратный ptr)
  6. Изменил DNS-сервер DC (настройки сети) на новый DNS-сервер.
  7. Проверено, что я могу пинговать DNS-сервер с нового контроллера домена по имени хоста.

Когда я пошел дальше и сделал DCpromo на DC и снял отметку с опции «установить DNS», все казалось все прошло хорошо (сообщений об ошибках нет), но я не заметил никаких изменений на DNS-сервере (никаких дополнительных настроек). Кроме того, похоже, что DNS-сервер не может присоединиться к домену, поскольку утверждает, что домен не может быть обнаружен.

В заключение я запускаю Symantec Endpoint Protection, который включает брандмауэр и большинство настроек по умолчанию. Я еще не пробовал отключить это, но мой опыт показывает, что если бы служба открыла порт на брандмауэре Windows, она бы сделала то же самое через Symantec. В наши дни наблюдается довольно тесная интеграция с AV корпоративного класса и Windows.

У меня есть полностью настроенный шаблон vhdx (за исключением каких-либо специальных ролей и функций), который я могу использовать для замены текущей виртуальной машины AD, так что делать это снова и снова - не так уж сложно.

Я думаю, что в вашем дизайне есть некоторые несоответствия, поскольку вы не можете преобразовать первичную зону DNS в интегрированную зону Active Directory, если эта зона не хранится в контроллере домена. С другой стороны, нет способа разрешить только безопасные обновления в зоне, если эта зона не является интегрированной зоной в Active Directory. Я думаю, что резервирование - хорошая идея, особенно для AD, но лучший способ добиться этого - развернуть два контроллера домена с включенной ролью DNS-сервера..

Вот несколько ссылок, которые, я думаю, могут вам пригодиться:

Вы слишком сильно разделяете роли виртуальных машин. Если вы собираетесь использовать интегрированный в AD DNS, ваша виртуальная машина AD также должна размещать ваши службы DNS. Если вам нужна избыточность, разверните две комбинированные виртуальные машины AD / DNS.