Tư vấn về thiết kế Active Directory cho các máy chủ đa năng

Tôi đã được một khách hàng giao nhiệm vụ đưa ra một thiết kế Active Directory đang hoạt động cho một kịch bản với các yêu cầu sau (đơn giản hóa, chúng thực sự tồi tệ hơn rất nhiều):

• Có một mạng con cho các hệ thống máy khách.
• Có một mạng con cho các hệ thống máy chủ.
• Hai mạng không được kết nối.
• Mỗi máy chủ nên có hai card mạng, một trên mạng của máy chủ, một card khác trên mạng của khách hàng.
• Lưu lượng giữa máy khách và máy chủ chỉ nên chảy trên mạng của máy khách.
• Lưu lượng giữa các máy chủ chỉ nên chảy trên mạng của máy chủ.
• Điều này cũng nên áp dụng cho bộ điều khiển miền.

Không cần phải nói, điều này không phù hợp lắm với cách Active Directory sử dụng DNS để định vị bộ điều khiển miền; mọi cách tiếp cận có thể sẽ dẫn đến một trong các tình huống sau:

• Các DC đăng ký địa chỉ IP "phía máy khách" của họ trong DNS miền; khách hàng sẽ nói chuyện với họ bằng địa chỉ đó, nhưng máy chủ cũng vậy và lưu lượng truy cập sao chép AD.
• Các DC đăng ký địa chỉ IP "phía máy chủ" của họ trong DNS miền; các máy chủ sẽ nói chuyện với họ bằng cách sử dụng địa chỉ đó và lưu lượng truy cập sao chép sẽ chảy trên mạng đó, nhưng khách hàng sẽ không thể truy cập chúng.
• Các DC sẽ đăng ký cả hai địa chỉ IP trong DNS miền; bất cứ ai cũng đoán được bất kỳ hệ thống nào sẽ làm gì để tiếp cận họ.

Tất nhiên, các yêu cầu này hoàn toàn điên rồ và tất cả chúng đều không thể được thỏa mãn cùng một lúc, trừ khi sử dụng các giải pháp điên rồ như chia tách dịch vụ DNS trên hai mạng và điền các bản ghi SRV của nó bằng tay (argh) hoặc đặt máy chủ định vị Các DC sử dụng DNS và các máy khách xác định vị trí các DC bằng WINS (double-argh).

Giải pháp tôi đưa ra là có hai DC trên mạng "máy chủ" và hai DC trên "máy khách" một, xác định hai trang AD và vượt qua ranh giới giữa hai mạng chỉ với lưu lượng sao chép DC. Điều này vẫn sẽ yêu cầu một số lần xáo trộn DNS, bởi vì mỗi máy chủ vẫn sẽ có hai card mạng (ngoài hai DC phía máy chủ và máy chủ back-end hoàn toàn), nhưng ít nhất nó cũng có cơ hội hoạt động.

Có lời khuyên nào, ngoài việc chạy trốn càng nhanh càng tốt?

Hãy để tôi bắt đầu bằng cách nói rằng tôi đồng tình với nhiều người khác - hoặc thuyết phục khách hàng bằng cách khác hoặc chạy.

Tuy nhiên, với các yêu cầu được liệt kê của bạn (có nhiều yêu cầu chưa được liệt kê), tôi có thể nghĩ đến (và đã thử nghiệm một phần) ít nhất là nền tảng để thực hiện điều này.

Có một số khía cạnh cụ thể cần được xem xét.

1. Bản sao dịch vụ miền Active Directory
2. Quy trình định vị DC của khách hàng / máy chủ thành viên
3. Phân giải tên và lưu lượng truy cập cho các dịch vụ không phải AD DS

Một và hai có rất nhiều điểm chung - nói chung, chúng tôi đang ở bên cạnh Microsoft về điều này và phải làm việc trong giới hạn của các quy trình AD DS của Microsoft.

Số ba chúng tôi có một chút chỗ để làm việc. Chúng tôi có thể chọn các nhãn được sử dụng để truy cập các dịch vụ (tệp, trường hợp cơ sở dữ liệu, v.v.).

Đây là những gì tôi đề xuất:

Xây dựng bộ kiểm soát miền của bạn (DC)

• Có khả năng ít nhất hai.
• Mỗi DC sẽ có hai NIC, một trong mỗi mạng IP / trang web AD DS - gọi chúng là clt và srv ngay bây giờ.
• Chỉ cấu hình một NIC trong mỗi DC ngay bây giờ trong mạng srv.

Định cấu hình Trang web và Dịch vụ AD đúng cách

• trang web srv và mạng con
• trang web clt và mạng con
• bỏ chọn "Cầu nối tất cả các liên kết trang web" khỏi Trang web -> Vận chuyển giữa các trang web -> Nhấp chuột phải vào "IP"
• xóa DEFAULTIPSITELINK nếu nó tồn tại (hoặc nếu bạn đổi tên nó) để không có liên kết trang web nào được định cấu hình. Lưu ý rằng đây là điều chưa biết đối với tôi - KCC có thể sẽ đổ lỗi vào nhật ký sự kiện Dịch vụ thư mục nói rằng hai trang web (srv và clt) không được kết nối ở các khoảng thời gian khác nhau. Tuy nhiên, việc sao chép vẫn sẽ tiếp tục giữa hai DC vì họ có thể liên lạc với nhau bằng IP trong cùng một trang.

Định cấu hình vùng bổ sung trong DNS tích hợp AD DS

• Nếu miền AD DS của bạn là acme.local , hãy tạo Vùng tích hợp AD chính thứ hai với các cập nhật động được kích hoạt có tên là clt.acme.local .

Định cấu hình các NIC thứ hai trên DC của bạn

• Các NIC này sẽ là các NIC trong mạng / trang web clt.
• Đặt IP của họ
• Đây là phần ma thuật - Thuộc tính bộ điều hợp -> Thuộc tính IPv4 -> Nâng cao -> Tab DNS -> Đặt hậu tố DNS cho kết nối này thành clt.acme.local -> kiểm tra Đăng ký kết nối này ... -> Kiểm tra Sử dụng kết nối này Hậu tố DNS ... -> OK tất cả các cách thông qua.
• ipconfig / registerdns
• Điều này sẽ đăng ký IP IP clt trong vùng clt.acme.local - cung cấp một phương thức để chúng tôi kiểm soát IP / mạng nào được sử dụng sau này.

Cấu hình máy chủ thành viên NIC

• Máy chủ thành viên NIC trong trang web clt phải có hậu tố DNS và các hộp kiểm được đặt tương ứng như trên.
• Các cài đặt này có thể được sử dụng với tĩnh và DHCP, không thành vấn đề.

Định cấu hình hành vi trình phân giải DNS [stub] trong trang web

• DC's -> Cấu hình DC srv NIC để sử dụng chính nó và IP DC srv DC khác. Để trống DC clt NIC DNS (mặc dù IP tĩnh là cần thiết). (Máy chủ DNS DC vẫn sẽ nghe trên tất cả IP theo mặc định).
• Máy chủ thành viên -> Định cấu hình máy chủ thành viên srv NIC để sử dụng IP của trang web srv DC. Để máy chủ thành viên clt NIC DNS trống (có thể sử dụng IP tĩnh).
• Khách hàng / Máy trạm -> Định cấu hình DNS (thông qua DHCP hoặc tĩnh) để sử dụng IP IP clt của DC.

Định cấu hình ánh xạ / tài nguyên phù hợp

• Khi các máy chủ nói chuyện với nhau, hãy chắc chắn sử dụng .acme.local -> sẽ phân giải IP mạng srv.
• Khi khách hàng nói chuyện với máy chủ, hãy chắc chắn sử dụng .clt.acme.local -> sẽ giải quyết để clt IP mạng.

Tôi đang nói về cái gì vậy?

• Sao chép AD DS vẫn sẽ xảy ra vì DC có thể giải quyết lẫn nhau và kết nối với nhau. Vùng acme.local và _msdcs.acme.local sẽ chỉ chứa bản sao AD DS của DC srv IP IP sẽ chỉ xảy ra trên mạng srv.
• Quá trình định vị DC cho các máy chủ thành viên và máy trạm sẽ hoạt động - mặc dù có khả năng xảy ra sự chậm trễ tại các phần khác nhau của các quy trình AD DS khác nhau khi trang web không xác định, nếu nhiều IP DC được trả về - chúng sẽ bị thử, thất bại và tiếp tục cho đến khi một công trình Các hiệu ứng trên DFS-N chưa được đánh giá hoàn toàn - nhưng vẫn sẽ hoạt động.
• Các dịch vụ không phải AD DS sẽ hoạt động tốt nếu bạn sử dụng các nhãn .acme.local và .clt.acme.local như đã mô tả.

Tôi chưa hoàn toàn kiểm tra điều này vì nó khá lố bịch. Tuy nhiên, quan điểm của câu trả lời này (wow, dài dòng) là bắt đầu đánh giá liệu có thể thực hiện được hay không - không phải là nó có nên được thực hiện hay không.

@Bình luận

@Massimo 1/2 Đừng nhầm lẫn nhiều trang web AD DS trong khu vực acme.local và do đó, các bản ghi SRV được DC đưa vào trong các trang web đó trong khu vực acme.local cần có bản ghi SRV trong khu vực clt.acme.local. Hậu tố DNS chính của máy khách (và miền Windows mà chúng được nối) vẫn sẽ là acme.local. Máy khách / máy trạm chỉ có một NIC duy nhất, với hậu tố DNS chính có khả năng xuất phát từ DHCP, được đặt thành acme.local.

Vùng clt.acme.local không cần bản ghi SRV vì nó sẽ không được sử dụng trong quy trình định vị DC. Nó chỉ được sử dụng bởi các máy khách / máy trạm để kết nối với các dịch vụ không phải AD AD của máy chủ thành viên bằng cách sử dụng IP của máy chủ thành viên trong mạng clt. Các quy trình liên quan đến AD DS (bộ định vị DC) sẽ không sử dụng vùng clt.acme.local, mà là các trang AD DS (và mạng con) trong vùng acme.local.

@Massimo 3

Sẽ có các bản ghi SRV cho cả các trang web AD DS của clt và srv - chỉ là chúng sẽ tồn tại trong khu vực acme.local - xem ghi chú ở trên. Vùng clt.acme.local không cần các bản ghi SRV liên quan đến DC.

Khách hàng sẽ có thể xác định vị trí phạt DC. Các máy chủ DNS của máy khách trỏ đến IP clt của DC.

Khi quá trình định vị DC trên máy khách khởi động

• Nếu khách hàng biết trang web của mình, câu hỏi DNS sẽ là _ldap._tcp. [Site] ._site.dc._msdcs.acme.local SRV. Điều này sẽ trả lại các DC cụ thể của trang web đã đăng ký hồ sơ SRV.
• Nếu khách hàng không biết trang web của mình, câu hỏi DNS sẽ là _ldap._tcp.dc._msdcs.acme.local SRV. Điều này sẽ trả lại tất cả DC. Khách hàng sẽ cố gắng liên kết với LDAP của DC cho đến khi tìm thấy phản hồi. Khi khách hàng tìm thấy một, nó sẽ thực hiện tra cứu trang web để xác định trang web của khách hàng và lưu trữ trang web trong bộ đăng ký để các trường hợp định vị DC trong tương lai diễn ra nhanh hơn.

@Massimo 4

Ugh, bắt tốt đẹp. Cách tôi nhìn thấy nó có hai cách xung quanh vấn đề này.

1. Tác động ít hơn (so với 2 dưới đây) là tạo một mục trong tệp máy chủ trên máy khách / máy trạm cho dc1.acme.local và dc2.acme.local trỏ đến IP IP clt của DC.

hoặc là

2. Tạo thủ công các bản ghi SRV cần thiết trong tệp netlogon.dns trên mỗi DC. Điều này có thể sẽ có một số hậu quả trên mạng máy chủ. Đôi khi các máy chủ thành viên có thể liên lạc với DC trên mạng clt nếu điều này được cấu hình.

Tất cả trong tất cả không có gì là đẹp, nhưng đó không nhất thiết là mục tiêu cuối cùng. Có thể khách hàng chỉ đang thử nghiệm công nghệ của bạn. Đặt nó lên bàn hội nghị của họ và nói với họ "Ở đây, điều này sẽ hoạt động, nhưng tôi đang tính cho bạn gấp 4 lần tốc độ bình thường của tôi để định cấu hình và hỗ trợ nó. Bạn có thể giảm xuống 1,5 lần tốc độ bình thường của tôi - .5x phí PITA, bằng cách thực hiện [giải pháp đúng]. "

Như đã lưu ý trước đó, khuyến nghị của tôi là thuyết phục khác hoặc chạy. Nhưng nó chắc chắn là một bài tập nhỏ vui vẻ trong vô lý. :)

Cuối cùng, tôi đã đi với giải pháp hai trang web:

• Hai DC cho mạng "máy chủ", hai DC cho mạng "máy khách".
• Hai trang web AD, một cho mạng "máy chủ" và một cho "khách hàng" một.
• Các DC trong mạng "máy chủ" sẽ chỉ có một NIC ở trên đó (khách hàng sẽ không nói chuyện với họ), vì vậy điều này thật dễ dàng.
• Các DC trong vùng "máy khách" sẽ có hai, nhưng sẽ chỉ đăng ký trong DNS phía máy khách của họ.
• Máy chủ sẽ nói chuyện với DC của họ, khách hàng sẽ nói chuyện với người của họ.

Tất nhiên, điều này có nghĩa là cho phép lưu lượng truy cập sao chép giữa hai mạng; các DC trong mạng "máy khách" vẫn sẽ có một NIC nằm trên mạng "máy chủ", nhưng vì nó sẽ không được đăng ký trong DNS, các DC trong mạng đó sẽ liên lạc với họ bằng địa chỉ IP phía máy khách của họ; do đó, trên thực tế, NIC sẽ hoàn toàn vô dụng và một số cổng tường lửa sẽ cần phải được mở. Tùy chọn duy nhất khác là xáo trộn các hoststệp của DC , nhưng hãy hy vọng điều đó có thể tránh được.

Chà, tôi nghĩ rằng đây là điều tốt nhất có thể được thực hiện để đáp ứng càng nhiều yêu cầu (điên rồ) càng tốt.

Cảm ơn tất cả lời khuyên :-)

Trước hết, khi chúng tôi cung cấp dịch vụ cho khách hàng, chúng tôi nên đặt câu hỏi về yêu cầu của họ là gì. Cho phép khách hàng hiểu rằng mức độ phức tạp của họ là không cần thiết.

• Số khách hàng là gì?
• Đây là tất cả lưu lượng truy cập nội bộ?
• Cấp độ chức năng của các lĩnh vực là gì?
• Là protcol TLS đang được sử dụng?

Sử dụng phương pháp KISS - Sẽ tạo ra hai Vlan "SVR" và "CLT" cho phép SSL / TLS và gọi đó là Ngày ....