情況:
- 我們有需要測試的災難復原站點
DR 站點上混合Linux 和Windows 主機。完成不可用,我們不想刪除伺服器表單 AD 的原始記錄。
我試圖解決的問題是 DR 站台中的名稱解析。我們無權在 Windows DNS 上執行任何操作。
我的想法是使用 BIND 來解決這個問題。
DR主機需要存取的服務主要是檔案共用和SQL伺服器。
這帶來了對DR 站點中BIND 持有的our.domain.com 區域使用BIND 的想法,但是當Windows DR 主機需要針對AD 進行身份驗證時,我可以看到可能的問題,因為如果我沒記錯的話,它們需要使用未解析的記錄。我們不能由於我之前提到的原因,AD 中的代表區域。
值得麻煩解決這個問題嗎?
答案1
HOSTS 檔案不會使 AD 身份驗證正常運作。 AD 驗證需要只有 DNS 伺服器才能提供的 SRV RR(因為 HOSTS 檔案只是 A RR)。
看看這裡:我之前給出的關於使用 BIND 支持 AD 的答案:使用 BIND9 和 DHCPD 支援 Windows 網域
如果您的 Windows 伺服器電腦名稱不同,某些軟體將無法正常運作。僅嘗試將非 DR 名稱「別名」到具有不同電腦名稱集的 Windows 伺服器將適用於某些協議,但其他協議則完全失敗(例如,AD 中的 SPN 與電腦「綁定」)名稱)。
我不清楚為什麼不能在 DR 網站中使用 Windows DNS。我認為您可以啟動 Windows DNS 伺服器,如果情況變得更糟,請將 _msdcs.domain.com 區域委託給現有 BIND 基礎架構中的 Windows DNS 伺服器。
我想我需要更多地了解您想要完成的任務以及為什麼您受到這些限制,但總的來說,我會努力使災難恢復環境盡可能接近生產環境,以便將操作轉移到災難恢復環境時您只需要做最少的工作。
答案2
沒有簡單的方法可以讓 DR 網站上的主機將「SERVER」解析為 SERVER_DR 的 IP 位址,同時仍保持所有 AD DNS 內容正常運作。您需要做的是為所有伺服器引用使用別名。
我通常的方法是建立一個未整合 AD 的新網域(例如 mydomain.site)。這允許您為不同的 DNS 伺服器使用單獨的不同區域檔案。然後將對伺服器的所有引用更改為 server.mydomain.site。這允許您的使用者使用單一伺服器名稱來解析為適合該網站的任何名稱。
注意,要使用 CNAME 別名進行 Windows 檔案共用,您需要為 LanManServer 服務新增登錄機碼。看http://support.microsoft.com/kb/281308了解詳情。這適用於 W2k8、2k 和 2k3。
我強烈建議您使用 Windows DNS 來託管 .site 網域。如果您確實無法說服系統管理員提供協助,那麼您可以使用 BIND 並將 Windows DNS 伺服器設定為轉發器。然後 BIND 將解析 .site 網域,而 Windows 將用於包括 AD 網域在內的所有其他網域。然而,這使得維護變得更加複雜,所以如果可以的話我會避免它。
JR
PS re“注意 Windows 檔案共用與 CNAME 別名一起使用”
使用別名的要點是,您可以使用 UNC 名稱(如 \myserver.mydomain.site\share)瀏覽共用或對應網路磁碟機,其中名稱「myserver.mydomain.site」解析為目標伺服器的 IP 位址,並且可以解析為不同站點的不同IP 位址。預設情況下,LanManServer 服務不允許瀏覽,除非伺服器名稱與真實伺服器名稱匹配,並且您將收到類似「網路上存在重複名稱」的錯誤訊息。這樣做是為了提高安全性。我提到的知識庫文章描述如何關閉名稱檢查,以便 UNC 名稱像上面一樣工作。
實際上,我經常使用這個技巧,因為它可以輕鬆地將文件共享移動到不同的伺服器。它不是 DFS 的替代品,但可能是一個有用的技巧。