Многосетевой контроллер домена, веб-хост и т. Д.
У меня есть машина с Windows Server 2008 R2, которая является контроллером домена в Active Directory: Domain Services, и я хочу также запускать довольно много вещей с этой машины. В основном я учусь, как все подключить, и не особо беспокоюсь о том, что такое избыточность на предприятии.
В любом случае, проблемы, с которыми я сейчас сталкиваюсь, заключаются в том, что AD: DS нужен DNS. Мы также размещаем DNS на этом компьютере, на другом IP-адресе. У нас есть 8 адресов, выходящих во внутреннюю сеть в центре обработки данных, а затем 8 адресов, выходящих в Интернет.
Вот как я хотел бы видеть настройки для каждого адреса. Каждая пуля - это отдельный адрес и используется для него.
- Авторитетный DNS для веб-сайтов и внутренних компьютеров, а также служба пересылки для всего остального. Адрес OCSP для центра сертификации.
- IIS для веб-сайтов
- VPN
Теперь проблема, связанная с этим, состоит в том, чтобы управлять всеми адресами, которыми нужно управлять, слушать или игнорировать. Похоже, что Windows DNS любит просто автоматически связывать адреса и давать им то же доменное имя, что и все, на котором работает DNS, потому что это имеет смысл в больших системах с выделенным DNS. Однако я хочу, чтобы на этой машине были разные домены почти для каждого IP-адреса, и я действительно не хочу, чтобы Windows DNS перезаписывала или переделывала удаленные записи A и AAAA. Он даже добавляет частные IP-адреса в DNS, которых на самом деле там не должно быть.
Как мне лучше управлять разными адресами и услугами? Проблема DNS является моим главным приоритетом прямо сейчас, а после этого я не знаю, как решить проблему управления несколькими доменами и VPN с одной машины на разных адресах. Похоже, что, поскольку все не было создано для работы на одной машине, это будет сложно. Но я учусь, так что все интересно.
Любой вклад здесь будет очень признателен.
Для DNS снимите флажок «Зарегистрировать адреса этого подключения в DNS» - это остановит автоматическую регистрацию IP-адресов в DNS, и вы сможете определять записи вручную без вмешательства автоматического обновления.
Служба DNS также регистрирует IP-адреса в DNS, к которым она привязана, поскольку она автоматически заполняет NS записи и связанные A записи; настроить службу DNS для привязки только к конкретному IP-адресу, на котором он используется (свойства сервера -> интерфейс).
Что касается получения контроля над привязкой IP-адресов для служб, изменение адреса, к которому привязан, отличается для каждого приложения. Например, для IIS см. этот вопрос.
Работа всех этих несвязанных приложений в одной ОС, вероятно, не идеальна; проблема с одним приложением, потребности в обслуживании или нарушение безопасности могут нарушить работу каждой службы на сервере, и у вас могут возникнуть проблемы с раскрытием информации при запуске всех общедоступных и частных служб на одном устройстве (например, при запуске внутренний DNS на общедоступном полномочном DNS-сервере).
Разделение серверов в зависимости от их функциональной роли сводит к минимуму вероятность перебоев в обслуживании и проблем с безопасностью. Виртуализировать!