DR サイトの Windows ドメインの BIND

HOSTS ファイルでは AD 認証が正しく機能しません。AD 認証には、DNS サーバーのみが提供できる SRV RR が必要です (HOSTS ファイルは A RR にすぎないため)。

AD をサポートするために BIND を使用するという以前の回答については、こちらをご覧ください。BIND9 と DHCPD を使用して Windows ドメインをサポートする

Windows サーバーのコンピュータ名が異なる場合、一部のソフトウェアが正常に動作しないという問題が発生します。非 DR 名を、異なるコンピュータ名が設定された Windows サーバーに「エイリアス」しようとすると、一部のプロトコルでは機能しますが、他のプロトコルでは機能しません (たとえば、AD の SPN はコンピュータ名に「結び付けられています」)。

DR サイトで Windows DNS を使用できない理由がよくわかりません。Windows DNS サーバーを起動して、最悪の場合、_msdcs.domain.com ゾーンを既存の BIND インフラストラクチャ内の Windows DNS サーバーに委任できると思います。

何を達成しようとしているのか、なぜそのような制限を設けているのかについてもう少し理解する必要があると思いますが、一般的には、DR 環境に操作を移行するときに行う作業が最小限になるように、DR 環境を本番環境にできるだけ近づけるように努めます。

AD DNS のすべての機能を維持しながら、DR サイトのホストが "SERVER" を SERVER_DR の IP アドレスに解決するようにする簡単な方法はありません。必要なのは、すべてのサーバー参照にエイリアスを使用することです。

私が通常行うアプローチは、AD 統合されていない新しいドメイン (例: mydomain.site) を作成することです。これにより、異なる DNS サーバーに個別の異なるゾーン ファイルを使用できます。次に、サーバーへのすべての参照を server.mydomain.site に変更します。これにより、ユーザーは、サイトに適した名前に解決される単一のサーバー名を使用できるようになります。

注意：Windowsファイル共有をCNAMEエイリアスで動作させるには、LanManServerサービスのレジストリエントリを追加する必要があります。http://support.microsoft.com/kb/281308詳細については、こちらを参照してください。これは、2k および 2k3 だけでなく、W2k8 でも動作します。

.site ドメインをホストするには、Windows DNS を使用することを強くお勧めします。システム管理者を説得して協力してもらうことができない場合は、BIND を使用して Windows DNS サーバーをフォワーダーとして構成できます。そうすると、BIND が .site ドメインを解決し、AD ドメインを含む他のすべてのドメインには Windows が使用されます。ただし、これにより保守が複雑になるため、可能であれば避けてください。

JR

PS: 「Windows ファイル共有用の NB を CNAME エイリアスで動作させる」

エイリアスを使用する目的は、\myserver.mydomain.site\share のような UNC 名を使用して共有を参照したり、ネットワーク ドライブをマップしたりできることです。この場合、「myserver.mydomain.site」という名前は、ターゲット サーバーの IP アドレスに解決され、異なるサイトでは異なる IP アドレスに解決されます。デフォルトでは、LanManServer サービスは、サーバー名が実際のサーバー名と一致しない限り参照を許可せず、「ネットワーク上に重複した名前が存在します」などのエラー メッセージが表示されます。これは、セキュリティを強化するために行われます。前述の KB 記事では、名前のチェックをオフにして、上記のような UNC 名が機能するようにする方法が説明されています。

実際、私はこのトリックを日常的に使用しています。ファイル共有を別のサーバーに簡単に移動できるからです。これは DFS の代わりではありませんが、便利なトリックです。