Я пытаюсь перенять старую инфраструктуру и очистить ее, но при выборе новой архитектуры у меня возникают некоторые проблемы.
У нас есть набор из дюжины или двух тестовых / производственных серверов в стойке с двумя параллельными сетями между ними. Каждый сервер имеет два сетевых адаптера и подключен к обеим сетям.
Одна из сетей - это внешняя сеть с общедоступными IP-адресами в Интернете и доступом в Интернет. Другой - это локальная сеть с внутренними IP-адресами, которая используется в качестве внутренней сети связи с быстрым движением для передачи резервных копий и подключения к базам данных, не влияя на пропускную способность внешней сети.
Я хочу настроить контроллер домена в сети, и мой первоначальный план состоял в том, чтобы настроить его во внутренней сети, чтобы все сообщения AD отправлялись по внутренней локальной сети, но если я хочу, чтобы AD имел доступ в Интернет (для обновления и т. д.), он также должен быть подключен к внешней сети, что сделает его многосетевым.
Как вариант, я могу подключить его к внешней сети только, но это будет означать, что связь AD также идет по внешней сети, а DNS-имена, данные серверам, будут указывать на внешние IP-адреса, что на самом деле не то, что я хочу. Кроме того, в этом случае все серверы помечают внешний сетевой адаптер как адаптер домена (в идеале я бы хотел, чтобы внешний адаптер был «общедоступной» сетью, а внутренний - «частной» / «доменной» сетью)
Является ли установка DC в качестве многосетевого сервера единственным логическим решением здесь? Я чувствую, что упускаю что-то очень простое
P.S. Примечание: мне не нужно, чтобы DC был доступен из Интернета, а DNS-имена, созданные DC, не должны быть общедоступными, они предназначены только для внутренней адресации.
P.P.S. Мой план состоял в том, чтобы настроить оба сетевых адаптера на контроллерах домена (статические IP-адреса в обеих сетях), заблокировать любые входящие подключения к серверу через внешний сетевой адаптер (это будет только для доступа в Интернет) и привязать локальные DNS-серверы к внутренним IP. Каждый из серверов в сети будет получать доступ к DC по внутреннему IP-адресу, чтобы избежать проблем с разрешением. Это звучит достаточно хорошо?
Я считаю, что ваш план ошибочен.
С моей точки зрения, «правильное» решение:
Теперь вы можете просто маршрутизировать «внутреннюю» сеть между сетями без одновременного подключения к ним.
Контроллер домена с несколькими IP-адресами почти никогда не поможет что-нибудь. Это вызывает больше проблем, чем решает. Проблемы особенно остры для DNS, потому что "ListenAddresses" - это только половина проблемы. Вам также необходимо настроить значение PublishAddresses, и если вы этого не сделаете, ваш контроллер домена с радостью выдаст неправильный адрес случайным образом, пока вы не потеряете рассудок или не вернетесь сюда, чтобы спросить, почему он не работает.
Кроме того, как правило, не рекомендуется разрешать критически важным серверам, таким как контроллеры домена, доступ в Интернет, даже если это только исходящий доступ. В случае вторжения вредоносная программа первым делом звонит домой через Интернет и приглашает всех своих друзей. Нужны обновления? Используйте встроенную роль обновления сервера на другом компьютере.