我正试图接pipe一个旧的基础架构并进行清理,但是我遇到了一些决定新架构的问题。
我们在一个机架上有一套十二台或两台testing/生产服务器,其间有两个并行networking。 每个服务器有两个网卡,并连接到两个networking。
其中一个networking是外部networking,具有公共互联网IP和互联网接入。 另一个是本地networking,具有内部IP,用作快速通道内部通信networking,用于传输备份并连接到数据库,而不会影响/影响外部networking的带宽。
我想在networking中build立一个域控制器,我最初的计划是在内部networking中设置它,所以所有的AD通信都是通过内部局域网发送的,但是如果我想要AD有互联网访问的话更新等),它也必须连接到外部networking,这将使其多宿主。
另外,我可以将它连接到外部networking,但这意味着AD通信也会通过外部networking,并且提供给服务器的DNS名称将指向外部IP,这实际上并不是我想要的。 此外,在这种情况下,所有的服务器将外部networking适配器标记为域适配器(理想情况下,我想外部适配器是一个“公共”networking,内部一个“私人”/“域”networking)
将DC设置为多宿主服务器是唯一合乎逻辑的解决scheme吗? 我觉得我错过了很简单的事情
注意:我不需要通过互联网访问数据中心,由数据中心创build的DNS名称不应该是公开的,他们只能用于内部地址。
PPS我的计划是在DC上设置两个NIC(两个networking上的静态IP),通过外部networking适配器阻止到服务器的任何传入连接(仅用于Internet访问),并将本地DNS服务器绑定到内部IP。 networking中的每个服务器都将通过内部IP访问DC,以避免解决问题。 这听起来不错吗?
我认为你的计划是有缺陷的。
从我的观点来看,“正确”的做法是:
现在,您可以在networking之间“内部”路由,而不需要多路复用它们。
具有多个IP地址的域控制器几乎不可能解决任何问题 。 它会导致比解决问题更多的问题。 DNS的问题尤为严重,因为“ListenAddresses”只是问题的一半。 你还需要configurationPublishAddresses的值,如果你不这样做,你的域控制器会不定期地随机发布错误的地址,直到你失去了主意,或者回到这里,问它为什么不起作用。
另外,允许诸如域控制器的关键服务器访问互联网通常是一个坏主意,即使它只是传出访问。 如果你曾经入侵过,恶意软件所做的第一件事就是通过互联网回家并邀请他们的朋友。 需要更新? 在另一台机器上使用内置的服务器更新angular色。