Birden çok ağ bağlantısı olan sunucular için Active Directory tasarımı hakkında öneriler

11

Bir müşteri tarafından aşağıdaki gereksinimlere sahip bir senaryo için çalışan bir Active Directory tasarımı bulmakla görevlendirildim (basitleştirilmiş, aslında çok daha kötü):

  • İstemci sistemleri için bir alt ağ vardır.
  • Sunucu sistemleri için bir alt ağ vardır.
  • İki ağ bağlı değil.
  • Her sunucu, biri sunucu ağında, diğeri istemci ağında olmak üzere iki ağ kartına sahip olmalıdır.
  • İstemciler ve sunucular arasındaki trafik yalnızca istemcilerin ağından akmalıdır.
  • Sunucular arasındaki trafik yalnızca sunucuların ağından akmalıdır.
  • Bu, etki alanı denetleyicileri için de geçerli olmalıdır.

Söylemeye gerek yok, bu Active Directory'nin etki alanı denetleyicilerini bulmak için DNS'yi nasıl kullandığına pek uymuyor; olası herhangi bir yaklaşım aşağıdaki senaryolardan birine yol açacaktır:

  • DC'ler "istemci tarafı" IP adreslerini etki alanı DNS'sine kaydeder; istemciler bu adresi kullanarak onlarla konuşacak, ancak sunucular ve AD çoğaltma trafiği de yapacak.
  • DC'ler "sunucu tarafı" IP adreslerini etki alanı DNS'sine kaydeder; sunucular bu adresi kullanarak onlarla konuşacak ve çoğaltma trafiği bu ağdan akacak, ancak istemciler bu adreslere ulaşamayacak.
  • DC'ler her iki IP adresini de etki alanı DNS'sine kaydeder ; herhangi bir sistemin onlara ulaşmak için ne yapacağını tahmin eder.

Tabii ki, bu gereksinimler tamamen çılgındır ve DNS hizmetini iki ağda bölmek ve SRV kayıtlarını elle (argh) doldurmak veya sunucuların konumlandırmasını sağlamak gibi çılgın çözümler kullanmadıkça hepsi aynı anda tatmin edilemez. DNS kullanan istemciler ve istemciler DC'leri WINS (çift argh) kullanarak bulur.

Ortaya çıkan çözüm, "sunucular" ağında iki DC ve "istemciler" birinde iki DC'ye sahip olmak, iki AD sitesi tanımlamak ve sadece DC çoğaltma trafiğiyle iki ağ arasındaki sınırı geçmek. Her sunucunun hala iki ağ kartı (iki sunucu tarafı DC'si ve tamamen arka uç sunucuları dışında) olacağından, bu yine de bir miktar DNS yönetimi gerektirir , ancak en azından çalışma şansı vardır.

Mümkün olduğunca çabuk kaçmak dışında herhangi bir tavsiye var mı?

networking  domain-name-system  active-directory  domain-controller 
Massimo
kaynak
7
Daha hızlı kaç ... eğer yapabilirsen ...
SpacemanSpiff
1
Sanırım iki etki alanı ayarlayamamanın ve sonra onları bir ağaca / ormana götürmemenizin ve bir gün olarak adlandırmamanızın bir nedeni yok. Ardından, sorunların çoğunu yönetmek için yerleşik öğeleri kullanabilirsiniz. Yine de, birinin aptalı tokatlaması gerekiyor. Bu bir ağ kurmanın bir yolu değildir.
Satanicpuppy
1
Bu insanlar yönlendirmeyi duymadılar mı? "DAHA FAZLA NICS !! 1" ağ güvenliği yapmak değildir. Bununla birlikte, manuel SRV kayıtlarına sahip bölünmüş DNS çok kötü görünmüyor.
Shane Madden
2
Müşteriniz pratikliği açıkça anlamıyor. Yalnızca kaçamıyorsanız, mümkün olduğunca sık ve bol miktarda faturalandırmanızı öneririz.
Evan Anderson
1
İstemciyi kovun.
gWaldo

Yanıtlar:

5

Diğerlerini kabul ettiğimi söyleyerek başlayayım - ya müşteriyi başka türlü ikna edin ya da çalıştırın.

Ancak, listelenen gereksinimleriniz göz önüne alındığında (listelenmemiş birçok var), en azından bunun gerçekleşmesi için zemin düşünebilirim (ve kısmen test edilmiş).

Dikkate alınması gereken birkaç spesifik husus vardır.

  1. Active Directory Etki Alanı Hizmetleri Çoğaltması
  2. İstemcilerin / Üye Sunucuların DC Konumlandırıcı Süreci
  3. AD olmayan DS hizmetleri için ad çözümlemesi ve trafik

Bir ve iki ortak nokta var - genel olarak bu konuda Microsoft'un hevesindeyiz ve Microsoft'un AD DS işlemlerinin sınırları dahilinde çalışmak zorundayız.

Üç numarayla birlikte çalışmak için biraz yerimiz var. Hizmetlere erişmek için kullanılan etiketleri seçebiliriz (dosyalar, veritabanı örnekleri vb.).

İşte önerim:

Etki Alanı Denetleyicilerinizi (DC) oluşturma

  • Muhtemelen en az iki.
  • Her DC, her IP ağında / AD DS sitesinde bir tane olmak üzere iki NIC'ye sahip olacak - şimdilik clt ve srv olarak adlandırılıyor.
  • Şu anda srv ağında her DC'de yalnızca bir NIC yapılandırın.

AD Sitelerini ve Hizmetlerini doğru şekilde yapılandırın

  • srv sitesi ve alt ağ
  • clt sitesi ve alt ağ
  • Google Sites -> Siteler Arası Aktarımlar -> "IP" yi sağ tıklayın
  • Varsa (veya yeniden adlandırdıysanız) DEFAULTIPSITELINK'i silin, böylece yapılandırılmış site bağlantısı kalmaz. Bunun benim için bilinmediğini unutmayın - KCC muhtemelen iki sitenin (srv ve clt) değişen aralıklarda bağlı olmadığını söyleyerek hataları Dizin Hizmeti olay günlüğüne dökecektir. Ancak, aynı sitedeki IP'leri kullanarak birbirleriyle iletişim kurabilecekleri için iki DC arasında çoğaltma devam edecektir.

AD DS Tümleşik DNS'de ek bölge yapılandırma

  • AD DS alan adınız acme.local ise, clt.acme.local adlı dinamik güncelleştirmelerin etkinleştirildiği ikinci bir Birincil AD Entegre Bölgesi oluşturun .

DC'lerinizdeki ikinci NIC'leri yapılandırın

  • Bu NIC'ler, clt ağı / sitesindeki NIC'ler olacaktır.
  • IP'lerini ayarlama
  • İşte sihirli kısım - Adaptör Özellikleri -> IPv4 Özellikleri -> Gelişmiş -> DNS Sekmesi -> Bu bağlantı için DNS son ekini clt.acme.local olarak ayarlayın -> kontrol et Bu bağlantıyı kaydet ... -> Kontrol et Bu bağlantıyı kullan DNS soneki ... -> Tamamen sonuna kadar.
  • ipconfig / registerdns
  • Bu, clt NIC IP'yi clt.acme.local bölgesine kaydeder - daha sonra hangi IP / ağın kullanılacağını kontrol etmemiz için bir yöntem sağlar.

Üye sunucu NIC'lerini yapılandırma

  • Clt sitesindeki üye sunucu NIC'lerinin DNS son ekleri ve onay kutularının yukarıdaki gibi uygun şekilde ayarlanmış olması gerekir.
  • Bu ayarlar statik ve DHCP ile kullanılabilir, önemli değil.

Sitelerde DNS [saplama] çözücü davranışını yapılandırma

  • DC'ler -> DC srv NIC'i kendisini ve diğer DC srv NIC IP'yi kullanacak şekilde yapılandırın. DC clt NIC DNS'yi boş bırakın (yine de statik IP gereklidir). (DC DNS sunucusu varsayılan olarak tüm IP'leri dinlemeye devam eder).
  • Üye sunucular -> Üye sunucu srv NIC'yi DC srv site IP'lerini kullanacak şekilde yapılandırın. Üye sunucu clt NIC DNS'yi boş bırakın (statik IP kullanılabilir).
  • İstemciler / İş İstasyonları -> DC'nin clt NIC IP'lerini kullanmak için DNS'yi (DHCP veya statik üzerinden) yapılandırın.

Eşlemeleri / kaynakları uygun şekilde yapılandırın

  • Sunucular birbirleriyle konuştuğunda .acme.local -> komutunu kullandığınızdan emin olun.
  • İstemciler sunucularla konuştuğunda .clt.acme.local -> komutunu kullandığınızdan emin olun.

Ne hakkında konuşuyorum?

  • DC'ler birbirini çözüp birbirine bağlanabildiğinden, AD DS çoğaltması yine de gerçekleşir. Acme.local ve _msdcs.acme.local bölgesi yalnızca DC srv NIC IP'sini içerecek ve AD DS çoğaltması yalnızca srv ağında gerçekleşecektir.
  • Üye sunucular ve iş istasyonları için DC konum belirleme işlemi çalışır - ancak site bilinmediğinde çeşitli AD DS işlemlerinin çeşitli bölümlerinde gecikme olasılığı olsa da, birden çok DC IP döndürülürse - denenecek, başarısız olacak ve devam edecek çalışana kadar. DFS-N üzerindeki etkiler de tam olarak değerlendirilmemiştir - ancak yine de çalışacaktır.
  • Yukarıda belirtilen .acme.local ve .clt.acme.local etiketlerini açıklandığı gibi kullanırsanız AD olmayan DS hizmetleri düzgün çalışır.

Oldukça gülünç olduğu için bunu tamamen test etmedim. Bununla birlikte, bu (vay, uzun) cevabın amacı, mümkün olup olmadığını değerlendirmeye başlamaktır - yapılması gerekip gerekmediğini değil.

@Comments

@Massimo 1/2 acme.local bölgesinde birden fazla AD DS sitesini ve dolayısıyla acme.local bölgesindeki DC'ler tarafından doldurulan SRV kayıtlarını clt.acme.local bölgesindeki SRV kayıtlarına ihtiyaç duyarak karıştırmayın. İstemcinin birincil DNS soneki (ve katıldıkları Windows etki alanı) hala acme.local olacaktır. İstemci / iş istasyonlarında yalnızca DHCP'den türetilen birincil DNS soneki acme.local olarak ayarlanmış tek bir NIC vardır.

Clt.acme.local bölgesi, DC konumlandırıcı işleminde kullanılmayacağı için SRV kayıtlarına ihtiyaç duymaz. Yalnızca istemciler / iş istasyonları tarafından, üye sunucunun AD olmayan DS hizmetlerine clt ağındaki üye sunucu IP'lerini kullanarak bağlanmak için kullanılır. AD DS ile ilgili işlemler (DC konumlandırıcısı) clt.acme.local bölgesini değil, acme.local bölgesinde AD DS sitelerini (ve alt ağlarını) kullanmaz.

@YaseminGüler

Hem clt hem de srv AD DS siteleri için SRV kayıtları olacaktır - sadece acme.local bölgesinde bulunacaktır - yukarıdaki nota bakın. Clt.acme.local bölgesi DC ile ilgili SRV kayıtlarına ihtiyaç duymaz.

Müşteriler DC para cezası bulabilir. İstemci DNS sunucuları DC'lerin clt IP'lerini gösterir.

İstemcideki DC bulucu işlemi başladığında

  • İstemci sitesini biliyorsa, DNS sorusu _ldap._tcp olacaktır. [Site] ._ sites.dc._msdcs.acme.local SRV. Bu, SRV kayıtları kayıtlı olan siteye özgü DC'leri geri döndürecektir.
  • İstemci yoksa değil , sitesini biliyorum DNS soru _ldap._tcp.dc._msdcs.acme.local SRV olacaktır. Bu, tüm DC'leri geri döndürecektir. İstemci, yanıt veren birini bulana kadar DC'nin LDAP'sine bağlanmaya çalışır. İstemci bulduğunda, istemcinin sitesini belirlemek için bir site araması gerçekleştirir ve gelecekteki DC konumlandırıcı örneklerinin daha hızlı olması için sitedeki önbelleği kayıt defterinde tutar.

@Massimo 4

Ah, güzel yakaladın. Gördüğüm kadarıyla bu problemin etrafında iki yol var.

  1. Daha az etki (aşağıdaki 2 ile karşılaştırıldığında) DC'lerin clt NIC IP'lerine işaret eden dc1.acme.local ve dc2.acme.local istemcileri / iş istasyonları üzerindeki hosts dosyasında bir girdi oluşturmaktır .

veya

  1. DC'lerin her birinde netlogon.dns dosyasında gerekli SRV kayıtlarını el ile oluşturun. Bunun muhtemelen sunucu ağında bazı sonuçları olacaktır. Üye sunucular zaman zaman bu yapılandırılmışsa clt ağındaki DC'lerle iletişim kurabilir.

Sonuçta hiçbiri güzel değil, ama bu mutlaka nihai hedef değil. Belki müşteri sadece teknik pirzolalarınızı test ediyordur. Konferans masalarına sürün ve söyleyin "İşte, bu işe yarayacak, ancak yapılandırmak ve desteklemek için normal hızımı 4 kat şarj ediyorum. Bunu yaparak normal hızımın 1,5 katı - 5x PITA şarjını [doğru çözüm]. "

Daha önce de belirtildiği gibi, tavsiyem başka türlü ikna etmek veya koşmaktır. Ama elbette eğlenceli küçük bir egzersiz. :)

dokumacı
kaynak
Bu ilginç, iki farklı DNS ad alanı kullanmayı düşünmedim. Ama burada çeşitli sorunlar görebiliyorum ... 1) clt.acme.local bölgesi için DC bulucu kaydı yok; Peki, müşteriler DC'leri nasıl bulacaklar? 2) İstemcilerin birincil DNS soneki, etki alanı üyesi oldukları için hala acme.local olacaktır; bu yüzden, ben onlar sanırım hala onların NIC DNS soneki farklı olsa bile, bu bölgede DC bulucu kayıtları arıyor. 3) Her neyse, istemci sitesi için kayıtlı bir DC olmayacaktır, bu nedenle istemciler bulamazlar.
Massimo
Büyük olasılıkla, istemciler ya bir DC bulamazlar (WINS burada yerinde değildir ve ağlar yönlendirilir) ya da DC'lerin sunucu tarafı IP adresine bağlanmaya çalışırlar. ulaşılabilir.
Massimo
@Massimo - Yazının sonunda yorumlara yanıt verdi.
Weaver
Ancak istemci "DC'niz dc1.acme.local" (site ne olursa olsun) diyerek bir SRV kaydı aldığında, FQDN'sini kullanarak onunla iletişime geçmeye çalışmaz mı? Ben onun NIC's DNS soneki umurumda olduğunu sanmıyorum, yani "dc1.acme.local cevap vermez," dc1.clt.acme.local "denemek düşünecek sanmıyorum. DC'nin sunucu tarafı IP adresiyle eşlenen dc1.acme.local dosyasını deneyin ve başarısız olur .. Yoksa burada bir şey mi kaçırıyorum?
Massimo
@Massimo - Yazının sonunda yorumlara yanıt verdi.
Weaver
3

Sonunda iki site çözümü ile gittim:

  • "Sunucu" ağı için iki DC, "istemci" ağı için iki DC.
  • Biri "sunucular" ağları ve diğeri "istemciler" için olmak üzere iki AD sitesi.
  • "Sunucular" ağındaki DC'lerde yalnızca bunun üzerinde bir NIC bulunur (istemciler onlarla hiç konuşmaz), bu yüzden bu kolaydır.
  • "İstemciler" bölgesindeki DC'lerde iki tane bulunur, ancak yalnızca DNS'de istemci tarafı olanları kaydeder.
  • Sunucular DC'leriyle konuşur, müşteriler kendi DC'leriyle konuşur.

Elbette bu, iki ağ arasında çoğaltma trafiğinin etkinleştirilmesi anlamına gelir; "müşteri", DC'ler ağ olacak hala "sunucuları" ağ üzerinde NIC oturma sahip, ancak DNS kaydının almazsınız olarak, bu ağdaki DC'lerin, kendi istemci tarafı IP adreslerini kullanarak onlarla iletişim olacaktır; böylece NIC aslında tamamen işe yaramaz olacak ve bazı güvenlik duvarı bağlantı noktalarının açılması gerekecek. Diğer tek seçenek DC'lerin hostsdosyalarını yönetmek olabilir , ancak umarım bundan kaçınılabilir.

Bence bu mümkün olduğunca çok (çılgın) gereksinimi karşılamak için yapılabilecek en iyi şey.

Tüm tavsiyeler için teşekkürler :-)

Massimo
kaynak
2

Her şeyden önce, müşterilerimize hizmet sunduğumuzda, gereksinimlerinin ne olduğunu sorgulamalıyız. Danışanın karmaşıklık düzeylerinin gereksiz olduğunu anlamasını sağlamak.

  • Müşteri sayısı neydi?
  • Bunların hepsi dahili trafik mi?
  • Alanların işlevsel seviyesi nedir?
  • TLS protcol kullanılıyor mu?

KISS yöntemini kullanarak - SSL / TLS etkinleştirmek ve bir gün çağırmak iki SVLAN "SVR" ve "CLT" oluşturmak olurdu ....

Steven - TechToolbox
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.