在不同的虚拟机上安装Active Directory并不合适 – 不知道为什么

不知道我在这里做错了什么。 我有一个中等规模的中端服务器(16核,2Ghz,32GB ECC REG RAM,6TB存储,没有太多极端),我正在运行Hyper-V(Server 2012 R2 Enterprise)以configuration虚拟机。 那么为什么一个AD与DNS分开? 我想要冗余。 我希望能够移动虚拟机并单独备份它们,并且在任何一台虚拟机上都不会有太多的服务。

我已经为DNSconfiguration了一个虚拟机,并已经设置好了 – 本质上,我有:

  1. 为涉及的每个人设置静态IP。
  2. 在DNS虚拟机上安装DNS服务。
  3. 创build了一个正向查找区域和一个反向查找区域(主要区域)xyz.ca
  4. 将区域configuration为使用不安全和安全的dynamic更新(我将在域控制器联机后更改它以保证安全)。
  5. 在正向查找区域(和反向ptr)中为DC创build一个Alogging,
  6. 将DC的DNS服务器(networking设置)更改为新的DNS服务器。
  7. 检查我可以通过主机名从新的DC ping dns服务器。

当我继续在DC上做一个DCpromo,并解除了“安装DNS”选项时,一切似乎都顺利(没有错误信息),但是我没有看到任何DNS服务器上的更改(没有其他设置)。 此外,DNS服务器似乎无法join域,因为它声称域是不可发现的。

最后说明一下,我运行Symantec Endpoint Protection,其中包括一个防火墙和大多数默认设置。 我还没有试过把它关掉,但是我的经验是,如果一个服务在Windows防火墙上打开一个端口,那么赛门铁克也会这样做。 现在,与企业级AV和Windows的整合非常紧密。

我有一个模板vhdx完全设置(只是缺less任何特殊的angular色和function),我可以用它来取代当前的AD虚拟机,所以这样做一遍又一遍,不是我的鼻子太多皮肤。

我认为在您的devise中存在一些不一致之处,因为如果该区域未存储在域控制器中,则无法将DNS主区域转换为Active Directory集成区域。 另一方面,如果区域不是Active Directory中的集成区域,则无法只允许在区域上进行安全更新。 我认为有冗余是一个好主意,特别是对于AD,但实现这一点的最好方法是部署两个启用了DNS服务器angular色的DC

这里有一些链接,我认为你可能会发现有用的:

  • 只允许安全dynamic更新
  • 了解Active Directory域服务中的DNS区域复制

你打破了你的虚拟angular色太多。 如果您打算运行AD集成的DNS,那么您的AD虚拟机也应该托pipe您的DNS服务。 如果您需要冗余,请部署两个AD / DNS组合虚拟机。