Нужны ли дополнительные интерфейсы на контроллере домена?
Здравствуйте, есть сеть организации 2 сайта AD, в одном сайте только один /24 сегмент, во втором было решено разделить сеть на отдельные /24 сегменты, возник вопрос связанный с контроллерами домена, они запущены на Hyper-V Server, нужно ли добавлять для каждого vlan сетевой интерфейс на DC из второго сайта таким образом чтобы в каждом из vlan был доступен DHCP и DNS сервер без маршрутизации?
Если нужно, то нужно ли указывать для каждого из этих интерфейсов гейтвей? Если указать Windows пишет предупреждение о том что такая конфигурация может работать некорректно. Если же не указать начинаются проблемы с репликацией между сайтами AD, т.к. IP адрес DC из второго сайта может выбран из тех, для которых не указан Gateway, соответственно будет недоступен для DC из первого сайта.
Если не нужно, то с DHCP сервером в общем-то понятно, можно настроить DHCP relay и перенаправлять DHCP запросы с маршрутизатора на Windows Server, а как быть с DNS сервером если предположить что некоторые из vlan должны быть изолированы?
Подскажите best practices такой конфигурации.
DNS использует IP - это маршрутизируемый протокол. СОответственно при наличии маршрутов из других подсетей работать будет.
DHCP использует broadcast/BOOTP - это немаршрутизируемые протоколы.
Для использования одного DHCP сервера в нескольких подсетях обычно используются ретрансляторы DHCP Relay, отправляющие запросы на DHCP сервер в другой подсети.
Что насчет default gateway - наличие их на нескольких интерфейсах может привести к проблемам маршрутизации, которая внутри локальной сети обычно решается созданием статических маршрутов.
отправляющие запросы на DHCP сервер в другой подсети
Не обязательно, можно и на один и тот же. Я уже не помню какой параметр на релее за это отвечает, но он может ясно дать понять серверу из какой подсети он должен предоставить клиенту адрес. Я совершенно определённо настраивал такую конфигурацию, и работала она вполне себе стабильно.
Сетевые карты нужны, но не для того, чтобы поднимать на них разные vlan (заемучаетесь потом разруливать), а чтобы настроить Etherchannel на них
DHCP - через реле
Остальное - через роутинг.
Плюс, закроете на роутере всякие левые порты, а то венда - такая себе, иногда дырявая.
Ну и главное, вы же в курсе, что контроллер домена нельзя ни бекапить (снимая образ с диска и не предпринимая дополнительных мер после восстановления), ни клонировать, а особенно нельзя держать в HyperV, который стоит на машине, которая находится в домене, который этот контроллер контроллит?
То есть на каждом DC оставляю 1 интерфейс, на нем адрес в каком-нибудь из vlan, на маршрутизаторе dhcp relay и разрешающие правила из всех vlan на 53 порт этого DC, а то что нужно изолировать — изолирую другими нижестоящими правилами на маршрутизаторе, это верно?
Насчет контроллера домена в hyper-v понятно если это единственный гипервизор, но у нас несколько хостов с hyper-v и 2 контроллера домена в каждом сайте AD на разных хостах, кроме этого настроена репликация ВМ между хостами и еженедельное резервное копирование ВМ на NAS, в такой конфигурации это тоже неверное решение, если да то почему?
Армянское Радио,
1 - надо знать о метках времени реплик. и как с этим работать
2 - но что ты будешь делать, если рухнут все реплики?
ps
3 - что ты будешь делать если все живые реплики получать неадекватные изменения? (лошара администратор, саботаж, взлом, и тд..)... и что с тобой сделают в компании, когда цена простоя очень велика
#, в каком месте у меня написано, что нужно положиться исключительно на репликацию? Я пишу, что нельзя бекапить путем сохранения образов. Можно бекапить специальным софтом, коих имеется дофига. И то, подъем с такого бекапа будет довольно занятным.
Ну и главное, вы же в курсе, что контроллер домена нельзя ни бекапить (снимая образ с диска), ни клонировать, а особенно нельзя держать в HyperV, который стоит на машине, которая находится в домене, который этот контроллер контроллит?
.. при наличии того же образа акронис (и в чем трудности? возможно админ больше ни чего не умеет) во многих случаях окажется быстрее грохнуть реплики и понять достоверно адекватную копию. при необходимости можно и гепервизор перезалить..
.. быстрее чем создать корректную инфраструктуру по памяти
И то, подъем с такого бекапа будет довольно занятным.
чушь. выполнение инструкций МС по восстановлению прошлой но корректной реплики, опять таки лишь сокращает время устранения ущерба.. но требует наличие мозгов. а не быдлорадости иллюзорным путям упрощения жизни
Я пишу, что нельзя бекапить путем сохранения образов. Можно бекапить специальным софтом, коих имеется дофига. И то, подъем с такого бекапа будет довольно занятным.
надо знать о необходимости, возможности и способе подъема приоритета меток времени восстановленной копии. все. точка ps способ создания копий не важен
#, я про все это знаю (но тотальное падение я отрабатывал только на учениях), а знает ли автор вопроса? Я ведь специально его напугал и отправил читать мануалы по работе с виртуализованными контроллерами домена. Вы реагируете как второкурсник, который открыл учебник алгебры за пятый класс, не нашел в нем комплексных чисел (которые вчера выучил), после чего счел авторов учебника глубоко некомпетентными.
я про все это знаю (но тотальное падение я отрабатывал только на учениях), а знает ли автор вопроса? Я ведь специально его напугал и отправил читать мануалы по работе с виртуализованными контроллерами домена. Вы реагируете как второкурсник, который открыл учебник алгебры за пятый класс, не нашел в нем комплексных чисел (которые вчера выучил), после чего счел авторов учебника глубоко некомпетентными.
высоко вероятный перевод в корпоративной среде:
- кто угробил АД???
- он!!! (говорит тамада и показывает на админа новичка)
- .. это я специально запугал его, что резервных копий делать нельзя!!
... (далее следуют хитрожопые объяснения причин...)
однако следствие показало, что тамада попросту не умел пользоваться резервными копиями АД...
.. хотя на полке стоял, уже давно покрывшийся пылью, томик "Руководство системного администратора MS Windows Server"
я про все это знаю (но тотальное падение я отрабатывал только на учениях), а знает ли автор вопроса? Я ведь специально его напугал и отправил читать мануалы по работе с виртуализованными контроллерами домена
- не надо путать предупреждения и запреты
- лучше изучать инструкции до полного понимания. лично мне это помогло. у меня были под управлением многосайтовые сети далеко не один раз. случаи падения контроллеров бывали. самое смешное в этом споре, что мне даже ни разу не пришлось использовать штатную процедуру повышения приоритетов восстановленной из бекапа реплики, но не раз восстанавливал те же самые образы акрониса. но самое главное - ни разу не было сбоя работоспособности систем в целом
Alexey Dmitriev, правильно ли я понимаю, что можно восстановить контроллер AD из бэкапа диска месячной давности, и все автоматически починится, без совершения дополнительных плясок с бубном?
Армянское Радио, не стоит передергивать. Я вам сделал замечание про ваши слова по поводу невозможности восстановления виртуализированных DC из резервной копии - такая возможность есть, и MS внедрила механизмы для устранения потенциальных проблем при откате AD с более старым USN.
Alexey Dmitriev, я задаю уточняющие вопросы. Есть разница между
- "просто откатить бэкап"
- откатить бэкап, а потом осторожно по мануалу все оживить.
- делать бэкап проприетарным инструментом, который специально предназначен для этого.
Из того, что автор заблудился в двух вланах, я сделал вывод, что он надеется на то, что у него прокатит вариант номер один, поэтому написал пост, который вызвал у вас двоих сильно неоднозначную реакцию.
При всем при этом, цели я своей добился-автор таки пошел читать документацию.
Средний
Средний
