我是一个Active Directory的noob,我知道刚刚得到我们目前的设置运行良好。
我们运行一个networking服务器场,其中有几台networking服务器连接到一台文件服务器以存储内容 我们正在添加第二个文件服务器,并将这两个文件同步到DFS-R。 这一切都很好。 我还设置了一个DFS命名空间,这样所有的Web服务器都可以与命名空间进行通信,从而使自动故障切换成为可能。 这也很好。
除了这个问题。 我们的托pipe服务提供商在其规定的每个服务器上有两个NIC。 公用适配器和专用适配器。 在我使用DFS命名空间之前,我总是使用内部的10.xxx IP访问各种服务器(老习惯,我知道我可以使用计算机名称)。 因此,现在所有的stream量都快速stream过私人适配器。
现在我正在尝试使用DFS命名空间,并因此不使用基于IP的命名,我注意到从我们的文件服务器拉入的内容通过公共适配器而不是专用适配器进入。
问题: 我如何强制Active Directory DNSparsing到私有的10.xxx IP而不是公有IP? 是的,这些10.xxx IP已经存在于DNS中。
基本域和Active Directory中的每台计算机都有多个A(和AAAAlogging)。 有没有办法让DNS响应“首选”IP?
您需要修改承载DFS名称空间的服务器上的DNS设置,以防止他们注册其公有IP。 在TCP / IP属性中,在DNS选项卡上的每个服务器上,取消选中公用NIC的“在DNS中注册此连接的地址”框。 您可以手动从DNS中删除不需要的条目,并在服务器上运行ipconfig /regsiterdns ,以观察是否已成功阻止它们重新注册。
如果任何托pipeDFS名称空间的服务器正在运行DNS服务器,则还必须在“HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Parameters”下设置“PublishAddresses”REG_SZ值,以仅包含服务器的IP地址想要发布(因为具有DNS服务器angular色的服务器将默认发布其所有的IPv4地址)。
就我个人而言,我会解除所有不必要的服务和客户端在所有服务器上面向公众的NIC,强制他们不要在DNS中注册他们的公共地址,并尝试像所有的公共地址一样。 我会configuration任何不需要公开的服务,不要绑定在公共地址上,而是使用Windows防火墙来阻止所有传入的连接, 除了明确地面向公众的服务外 。 (在有人问我之前,即使在机器前面有一个硬件防火墙,我也会这样做,我会像硬件防火墙那样玩,我也会在服务器的防火墙上设置出站规则还有硬件防火墙,但是那是因为我很迷恋,除非我明确允许,否则我不想让我的盒子与世界通话。
最后,如果服务器根本不应该提供任何公共服务,我会禁用公共NIC(如@murisonc所示),并删除IP地址(因为大概您不想支付更多的IP比你需要的)。