Windows 2012 Multihomed Domain Controller
(перевод)
В поисках того можно ли запускать Контроллер домена на Windows Server 2012 c несколькими сетевыми картами (как «подключённый к нескольким сетям»). Я исследовал много старых сообщений для Windows 2003, Windows 2000 и даже NT4, но не нашел много новой информации.
Все из них говорят, что-то вроде о «много сетевой конфигурации» что это – «не рекомендуется» или «не поддерживается»; не многие из страниц адресованы к тому в действительности ли это будет работать. Здесь изложен мой недавний опыт.
Да, вы можете запустить Контроллер домена на много сетевом компьютере, но вам нужно сделать некоторые изменения конфигурации для его работы.
Для целей демонстрации с фактическим примером, предположим, что у вас есть машина с 2-мя сетевыми картами:
- NIC 1: “PUBLIC” 192.x.x.x network (клиенты используют этот
интерфейс для доступа к
Контроллеру домена)
- NIC 2: “PRIVATE” 10.x.x.x network (частная сеть, только для
серверов или файловых
хранилищ)
Я пометил 192.x.x.x сети как PUBLIC, только чтобы стало ясно, что клиентские машины используют эти сети, чтобы связаться с Контроллером домена, это не означает, что IP-адрес обязательно публично маршрутизируемый.
Здесь изложены нужные изменения
1. [Обязательно] Не допускать чтобы Контроллер домена предлагал службы DNS на интерфейсе PRIVATE
- Запускаем regedit
- Открываем ветку
HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters
- Добавим строковый параметр: PublishAddresses
- В качестве значения, установить для PUBLIC (192.x) статический IP address
Я указал все свои внутренние подсети через пробел 10.0.0.1 10.0.2.1 10.0.4.1 10.0.6.1
Насколько я понял здесь указываются адреса интерфейсов которые публикуют свои адреса в качестве Srv-записей
2. [необязательно] Удалите лишние пункты из интерфейса PRIVATE (у меня это интерфейс для выхода во внешнюю сеть - интерфейс Internet)
Некоторые из них могут варьироваться в зависимости от вашей системы. Вы должны знать, что вам нужно в вашей сети PRIVATE; нам только нужен TCP/IPv4, поэтому ниже указано то , было запрещено:
1. Откройте Центр управления сетями и общим доступом
2. Выберите свойство подключения сети PRIVATE
3. Отключите «Служба доступа к файлам и принтерам сетей Microsoft»
4. Отключите Протокол мультиплексора сетевого адаптера(Microsoft)
5. Отключите “Ответчик обнаружения топологии канального уровня”
6. Отключите “TCP/IPv6″
3. [Требуется] Остановить адрес интерфейса e PRIVATE от
добавления в качестве записи DNS для данного хоста:
1. Откройте Центр управления сетями и общим доступом
2. Откройте свойства интерфейса PRIVATE
3. Выбирете TCP/IPv4 > Свойства > Дополнительно
4. На закладке DNS, отключите «Зарегистрировать адреса этого в DNS»
4. [Требуется] Удалите адреса интерфейса PRIVATE которые уже зарегистрированы
- Откройте Server Manager
- Откройте Средства > DNS
- Щелкните по папке для каждой из зон прямого просмотра, и везде, что вы найдете адрес интерфейса PRIVATE, щелкните правой кнопкой мыши и удалите его
- Откройте папку для каждой из зон прямого просмотра и в каждой из вложенных папок также удалите любые адреса интерфейса PRIVATE, которые вы найдете (изучите все дерево)
5. [Требуется] Перезагрузите ваши Контроллеры домена
Это необходимо чтобы все, описанные выше изменения вступили в силу.
Выполнил эти требования вот выводы тестов.
Код:
C:\Windows\system32>ipconfig /flushdns && ipconfig /all
Настройка протокола IP для Windows
Кэш сопоставителя DNS успешно очищен.
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : OfficeServer
Основной DNS-суффикс . . . . . . : office.com
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : office.com
sg.com
Ethernet adapter korea:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт) #6
Физический адрес. . . . . . . . . : 00-15-5D-0D-60-15
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.0.6.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 10.0.0.1
10.0.0.2
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter london:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт) #4
Физический адрес. . . . . . . . . : 00-15-5D-0D-60-08
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.0.4.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 10.0.0.1
10.0.0.2
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter berlin:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт) #3
Физический адрес. . . . . . . . . : 00-15-5D-0D-60-07
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.0.2.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 10.0.0.1
10.0.0.2
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Internet:
DNS-суффикс подключения . . . . . : sg.com
Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт) #2
Физический адрес. . . . . . . . . : 00-15-5D-0D-60-05
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 172.16.13.132(Основной)
Маска подсети . . . . . . . . . . : 255.255.252.0
Аренда получена. . . . . . . . . . : 30 октября 2015 г. 17:41:39
Срок аренды истекает. . . . . . . . . . : 31 октября 2015 г. 17:41:41
Основной шлюз. . . . . . . . . : 172.16.12.24
DHCP-сервер. . . . . . . . . . . : 172.16.12.2
DNS-серверы. . . . . . . . . . . : 127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Internal:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт)
Физический адрес. . . . . . . . . : 00-15-5D-0D-60-06
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.0.0.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 10.0.0.1
10.0.0.2
NetBios через TCP/IP. . . . . . . . : Включен
Код:
C:\Windows\system32>dcdiag /test:dns
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = OfficeServer
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\OFFICESERVER
Запуск проверки: Connectivity
......................... OFFICESERVER - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\OFFICESERVER
Запуск проверки: DNS
Проверки DNS выполняются без зависания. Подождите несколько минут...
......................... OFFICESERVER - пройдена проверка DNS
Выполнение проверок разделов на: ForestDnsZones
Выполнение проверок разделов на: DomainDnsZones
Выполнение проверок разделов на: Schema
Выполнение проверок разделов на: Configuration
Выполнение проверок разделов на: office
Выполнение проверок предприятия на: office.com
Запуск проверки: DNS
Результаты проверки контроллеров домена:
Контроллер домена: OfficeServer.office.com
Домен: office.com
TEST: Basic (Basc)
Внимание! У адаптера 00:15:5D:0D:60:05 динамический IP-адрес(возможна неправильная
настройка)
Внимание! У адаптера [00000011] Сетевой адаптер Hyper-V (Майкрософт) неверный DNS-сервер:
127.0.0.1 (OFFICESERVER)
TEST: Records registration (RReg)
Сетевой адаптер [00000010] Сетевой адаптер Hyper-V (Майкрософт):
Внимание!
Отсутствует запись A на DNS-сервере 10.0.0.1:
OfficeServer.office.com
Внимание!
Отсутствует запись A на DNS-сервере 10.0.0.2:
OfficeServer.office.com
Сетевой адаптер [00000012] Сетевой адаптер Hyper-V (Майкрософт):
Внимание!
Отсутствует запись A на DNS-сервере 10.0.0.1:
OfficeServer.office.com
Внимание!
Отсутствует запись A на DNS-сервере 10.0.0.2:
OfficeServer.office.com
Сетевой адаптер [00000013] Сетевой адаптер Hyper-V (Майкрософт):
Внимание!
Отсутствует запись A на DNS-сервере 10.0.0.1:
OfficeServer.office.com
Внимание!
Отсутствует запись A на DNS-сервере 10.0.0.2:
OfficeServer.office.com
Внимание! Не удается найти регистрации записей для некоторых сетевых адаптеров
Отчет о результатах проверки DNS-серверов, используемых приведенными выше контроллерами домена:
DNS-сервер: 172.16.13.132 (OFFICESERVER)
1 - проверка на данном DNS-сервере не пройдена
Name resolution is not functional. _ldap._tcp.office.com. failed on the DNS server 172.16.13.13
2
OfficeServer PASS WARN PASS PASS PASS WARN n/a
......................... office.com - пройдена проверка DNS
Я открыл оснастку DNS записи тип А для данных адресов присутствуют
Для 2-го сервера
Код:
C:\Windows\system32>ipconfig /flushdns && ipconfig /all
Настройка протокола IP для Windows
Кэш сопоставителя DNS успешно очищен.
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : OfficeServer-2
Основной DNS-суффикс . . . . . . : office.com
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : office.com
sg.com
Ethernet adapter Korea:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт) #7
Физический адрес. . . . . . . . . : 00-15-5D-0D-60-14
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.0.6.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 10.0.0.2
10.0.0.1
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter London:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт) #6
Физический адрес. . . . . . . . . : 00-15-5D-0D-60-13
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.0.4.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 10.0.0.2
10.0.0.1
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Berlin:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт) #5
Физический адрес. . . . . . . . . : 00-15-5D-0D-60-12
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.0.2.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 10.0.0.2
10.0.0.1
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Internet:
DNS-суффикс подключения . . . . . : sg.com
Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт) #4
Физический адрес. . . . . . . . . : 00-15-5D-0D-60-10
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 172.16.13.135(Основной)
Маска подсети . . . . . . . . . . : 255.255.252.0
Аренда получена. . . . . . . . . . : 30 октября 2015 г. 17:48:57
Срок аренды истекает. . . . . . . . . . : 31 октября 2015 г. 17:49:00
Основной шлюз. . . . . . . . . : 172.16.12.24
DHCP-сервер. . . . . . . . . . . : 172.16.12.2
DNS-серверы. . . . . . . . . . . : 172.16.12.1
172.16.12.2
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Internal:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт) #3
Физический адрес. . . . . . . . . : 00-15-5D-0D-60-11
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.0.0.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 10.0.0.2
10.0.0.1
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен
C:\Windows\system32>dcdiag /test:dns
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = OfficeServer-2
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\OFFICESERVER-2
Запуск проверки: Connectivity
......................... OFFICESERVER-2 - пройдена проверка
Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\OFFICESERVER-2
Запуск проверки: DNS
Проверки DNS выполняются без зависания. Подождите несколько минут...
......................... OFFICESERVER-2 - пройдена проверка DNS
Выполнение проверок разделов на: DomainDnsZones
Выполнение проверок разделов на: ForestDnsZones
Выполнение проверок разделов на: Schema
Выполнение проверок разделов на: Configuration
Выполнение проверок разделов на: office
Выполнение проверок предприятия на: office.com
Запуск проверки: DNS
Результаты проверки контроллеров домена:
Контроллер домена: OfficeServer-2.office.com
Домен: office.com
TEST: Basic (Basc)
Внимание! У адаптера 00:15:5D:0D:60:10 динамический
IP-адрес(возможна неправильная настройка)
Внимание! У адаптера
[00000016] Сетевой адаптер Hyper-V (Майкрософт) неверный
DNS-сервер: 172.16.12.1 (<name unavailable>)
Внимание! У адаптера
[00000016] Сетевой адаптер Hyper-V (Майкрософт) неверный
DNS-сервер: 172.16.12.2 (<name unavailable>)
TEST: Forwarders/Root hints (Forw)
Ошибка. Все пересылки в списке пересылок недопустимы.
Ошибка. Корневые ссылки и серверы пересылки не настроены или
повреждены. Убедитесь, что хотя бы один из них работает.
Отчет о результатах проверки DNS-серверов, используемых приведенными
выше контроллерами домена:
DNS-сервер: 172.16.12.1 (<name unavailable>)
2 - проверка на данном DNS-сервере не пройдена
Name resolution is not functional. _ldap._tcp.office.com. failed
on the DNS server 172.16.12.1
DNS-сервер: 172.16.12.2 (<name unavailable>)
2 - проверка на данном DNS-сервере не пройдена
Name resolution is not functional. _ldap._tcp.office.com. failed
on the DNS server 172.16.12.2
DNS-сервер: 192.228.79.201 (b.root-servers.net.)
1 - проверка на данном DNS-сервере не пройдена
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
S server 192.228.79.201
Отчет по результатам проверки DNS:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Домен: office.com
OfficeServer-2 PASS WARN FAIL PASS PASS PASS n/a
......................... office.com - не пройдена проверка DNS
C:\Windows\system32>
