Как регистрировать не все IP-адреса машины на DNS-сервере?
Вопрос одновременно и простой и не очень...
Описание инфраструктуры:
Есть сервер с Windows Server 2019, пусть будет server1.work.local. На этом сервере условно, 10 сетевых интерфейсов с разными подсетями на каждом, например - 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24, 192.168.4.0/24, 192.168.5.0/24, ну и так далее.
Есть... 2 контроллера домена Windows Server 2019 с репликацией между друг другом. Главный контроллер находится в подсети 192.168.5.0/24, подчинённый в 192.168.2.0/24. На каждом контроллере, разумеется, подняты DNS-серверы. На контроллере домена 192.168.2.0/24 также поднят DHCP-сервер и выдаёт он только 192.168.2.0/24 диапазон.
Проблема:
На DNS серверах автоматически регистрируются A-записи того самого сервера с 10-тю сетевыми интерфейсами, то есть получается, что server1.work.local имеет адрес 192.168.1.10, 192.168.2.10, 192.168.3.10 и так далее. При попытке установить соединение по доменному имени server1.work.local из пользовательского компьютера, находящегося в подсети 192.168.2.0/24 я могу получить ответ о том, что у server1.work.local сейчас IP-адрес 192.168.1.10 и не смогу с ним связаться, потому что я в другой подсети.
Попытался вручную удалить все А-записи кроме нужной (192.168.2.10), затем зашёл на сам server1.work.local сервер, перешёл в свойства каждого сетевого интерфейса и убрал галку с "Регистрировать это соединение в DNS", затем вручную создал статическую А-запись для server1.work.local А 192.168.2.10. Жду, условно говоря, час-два, записи снова появляются на DNS-сервере, все 10 интерфейсов прописывает одному доменному имени.
Как исключить регистрацию этого сервера в DNS?
Не знаю, влияет ли DHCP сервер, который выдаёт адреса в подсети 192.168.2.0/24, ведь на DNS регистрируются и 192.168.1.10 и 192.168.3.10, куда у этого DHCP-сервера нет сетевого доступа в принципе. Сам server1.work.local НЕ получает адрес от DHCP, он прописан на сетевом интерфейсе вручную статически. На DHCP-сервере в параметрах зоны стоит запрет на выдачу этого адреса кому-либо, то есть DHCP-сервер не выдаёт для server1.work.local адрес и не регистрирует его в DNS (теоретически)
Если я на DNS-сервере выключу обновление записей, у меня другие машины перестанут там прописываться, а мне нужно исключить один конкретный сервер - тоже не выход.
так. ща может глупость скажу, давно не работал с виндой и под рукой нет сервера, но на память - открываешь сетевые настройки, там где все адаптеры. заходишь в каждый, там свойства, там Advanced , там DNS. И снимаешь галку - Register this connection's address in DNS
Valentin Barbolin, Для доступа сервера к разным VLAN-ам, а что? Это как-то влияет на решение вопроса? Или вы хотели предложить - отключи все сетевухи кроме одной?)
itshnick88, ну ты же понимаешь, что читать всё не особо интересно ) читаем по-диагонали, что-то пропускаем.
Уточняю: после отключения регистрации сетевых интерфейсов на днс сервере и удаления записей вручную записи точно не реплицировались со второго DC? Если нет уверенности - удали на обоих, запусти репликацию вручную, перезапусти один из интерфейсов, чтобы не ждать.
itshnick88, 10 интерфейсов это не типичная конфигурация, зачастую маршрутизацией между vlan заманиется комутатор уровня L3 в таком варианте каждому достаточно одного интерфейса. Возможно есть лучшее решение, но я не знаю всех причин такой конфигурации как у тебя.
Valentin Barbolin, Если оставить один сетевой интерфейс на сервере, то как в системе виртуализации на этом сервере выбирать подсети (vlan) при разворачивании виртуального сервера? Вы видели когда-нибудь систему виртуализации с одним сетевым интерфейсом?
Чтобы она и с кластером по одному интерфейсу все согласовывала, и с СХД, и в целом? Да их там вообще не 10, а 18
Valentin Barbolin, А потому что зачем это? Какая разница, почему у меня 10 сетевых интерфейсов? Я вот этого как раз и не хотел - сидеть и каждому объяснять, почему и зачем что-то сделано. Да неважно, почему - надо. Есть конкретный вопрос, в котором описано всё необходимое. Если у вас решение уровня - просто выключи 9 из 10 интерфейсов или давай перелопатим архитектуру кластера виртуализации положив работу всей организации - то спасибо, это я и сам без вопроса смог бы сделать, но требуется именно то, что в вопросе) Люди и имеющийся вопрос-то не до конца прочитали, а вы говорите мне всю ИС в организации выложить, чтобы вместо ответа на конкретный вопрос люди сидели и высказывались, а почему вот тут так, а тут не так
как в системе виртуализации на этом сервере выбирать подсети
хм...Hyper-V умеет в тэгированный трафик - у каждой ВМ в сетевых настройках прям пунктик есть "VLAN ID"...
The most Generic model: enable Trunking on the physical switch (specifying the VLAN IDs and native VLAN) and apply a VLAN ID in the settings of the virtual NIC of each VM that needs it and the VM is attached to the proper External Virtual Network.
AUser0, Дошёл. Разве это не разделение DC на подсети? Если да, то мне не нужно разделять контроллеры, вопрос вообще в другом. Вопрос - как для конкретного сервера ограничить регистрацию в DNS некоторых сетевых интерфейсов, а не глобально разделить контроллер домена
Роман Безруков, Тэг-то я укажу, а ходить пакеты будут по одному физическому интерфейсу? Без изоляции на физическом уровне? А пропускная способность какая будет, хватит для всех одного интерфейса?
Вот видите... мы сейчас с вами будем обсуждать как что и почему, вместо конкретного вопроса. Зачем это?) Никто ложить (класть) виртуализацию из-за А записей на DNS сервере не будет. Нужен другой подход, отличный от "отключи все сетевухи и переделай архитектуру". Если бы мне нужно было переделать архитектуру, я бы задал вопрос - помогите переделать архитектуру)
emka2k, То есть в постановке вопроса я не описал, что у меня есть сервер с 10+ сетевухами и мне надо сделать так, чтобы конкретные сетевухи не регистрировались в DNS?
Или я в постановке вопроса прошу кого-то удалённо подключиться за меня и сделать хорошо? Мне кажется, вы читаете какую-то не ту ветку. В моей всё достаточно подробно расписано до степени того, что некоторые даже полностью прочитать ленятся)
itshnick88, Ок, на твой вопрос с регистрацией в DNS уже дали ответ. Мне интересен вопрос з пачкой интерфейосов. Задачи бывают разные и для виртуализации иногда надо много интерфейсов, но зачем назначать IP на эти интерфесы? Ведь они просто просто бриджуют трафик в сеть, для этого IP на интерфейсе не нужен.
Но появятся другие?)
Или потом обсудим оплату внедрения архитектуры, в процессе которой положим работу всей организации для того, чтобы DNS не регистрировал интерфейсы одного сервера?
Зачем вам 10 интерфейсов на виндовом сервере? При ответе на запрос эти записи будут перебираться, пока какая-то из них не ответит...
Как поиграться с регистрацией - уже предложили варианты, повторяться не буду.
У вас везде Windows Server 2019 - посмотрите в сторону настройки DNS Policies
А от ответа на этот вопрос как-то зависит решение проблемы?) Ну надо, зачем. Для хождения по VLAN-ам. И на самом деле их не 10, а 18 вообще, виртуализация там хостится... зачем это объяснять? Ну есть и есть, вопрос же не в том, зачем они мне, а как убрать автоматическую регистрацию этих интерфейсов в DNS
itshnick88, чувак, ты теплое с мягким не путай. У тебя изначально архитектура сделана по принципу "какал, мазал". Проблема твоя оттуда. Решать надо причину, а не следствие.
Максим Корнеев, у вас есть пример архитектуры, которая покрывает все запросы бизнеса и при этом супер идеальная? И в процессе её использования никогда не возникнет никаких вопросов? На которые придет человек и скажет - архитектура гамно, надо переделывать из-за какого-то одного вопроса)
Есть конкретный вопрос в теме. Он не звучит "как переделать всю архитектуру, чтобы не регистрировалась А запись на DNS сервере". Если вы не знаете, как ответить на заданный вопрос, просто пройдите мимо или скажите: "чувак, я не знаю, как решить конкретно твой вопрос, но я могу предложить вот это...". Если вы пришли показать, какой вы крутой и как у остальных все неправильно - я вас тут не жду
itshnick88, у вас описана проблема - "клиент получает неверный ответ на запрос..."
Я вам озвучил вариант решения - использовать DNS Policies...
Если прямо позарез надо именно отменить регистрацию - через групповые политики, предварительно вынести хост виртуализации в отдельный OU или группу безопасности.
З.Ы. как уже отметили ранее - все это борьба с последствиями, а не с корневой проблемой
Роман Безруков, на счёт DNS polices я понял, посмотрю на днях, что можно сделать, так как там тоже есть свои нюансы. Положить DNS для всех пользователей из-за пары А записей тоже не очень хочется)
Скорее всего борьба с последствиями тут лучше, потому как решая одну корневую проблему, можно насобирать 5 новых. Учитывая, что это хост виртуализации, дел можно наворотить немало. И мне кажется, проблема как раз в отсутствии настроенного DNS policy, в остальном всё более менее сделано как и необходимо