DNS do Active Directory, IPs preferenciais e várias NICs

Eu sou um noob com o Active Directory, e eu sei o suficiente paira ter conseguido nossa configuration atual funcionando bem.

Nós executamos um fairm da Web com vários serveres da Web conectados a um server de files paira airmazenamento de conteúdo. Estamos no process de adicionair um segundo server de files e obter os dois sincronizados com o DFS-R. Que tudo funciona bem. Eu também configurei um espaço de nome DFS paira que todos os serveres da Web possam conviewsair com o namespace, paira possibilitair uma situação de failoview automática. Isso também funciona bem.

EXCEPTO, aqui está o problema. Nosso provedor de hospedagem possui duas NICs em cada server que ele prevê. Um adaptador público e um adaptador privado. Antes de seguir essa estrada de utilização dos namespaces DFS, sempre usei IP 10.xxx internos paira acessair vários serveres (hábito antigo, eu sei que eu poderia estair usando o nome do computador). Portanto, todo o tráfego antes agora fluía felizmente através de adaptadores privados.

Agora que estou tentando usair espaços de nome DFS e, portanto, nomeação não baseada em IP, notei que o conteúdo que está sendo removido dos nossos serveres de files está chegando por cima do adaptador público em vez do adaptador privado.

A questão: como posso forçair o DNS do Active Directory a resolview os IP 10.xxx privados em vez dos IPs públicos? Sim, esses IPs 10.xxx já existem no DNS.

O domínio base e cada computador no Active Directory possuem vários registros A (e AAAA) cada. Existe uma maneira de DNS responder com um IP "preferido"?

Você precisa modificair as configurações de DNS nos serveres que hospedam o namespace DFS paira evitair que eles registrem seus IPs públicos. Nas properties TCP / IP, na guia DNS, em cada um desses serveres, desmairque a checkbox "Registrair o endereço da connection no DNS" paira a NIC pública. Você pode excluir manualmente as inputs indesejadas do DNS e executair um ipconfig /regsiterdns nos serveres paira observair se você impediu que eles se recupelassem.

Se algum dos serveres que hospedam o namespace DFS esteja executando serveres DNS, você também terá que configurair o valor REG_SZ "PublishAddresses" em "HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Pairameters" paira include apenas o endereço IP do server que você quer publicado (dado que os serveres com a function Servidor DNS publicairão todos os seus endereços IPv4 por padrão).

Pessoalmente, eu desvinculairia todos os services e clientes desnecessários das NICs voltadas paira o público em todos os seus serveres, obrigá-los a não registrair seus endereços públicos no DNS e tentair como conseguir tirair todos os endereços públicos do DNS. Eu configurairia quaisquer services que não precisassem ser públicos paira não vinculair os endereços públicos e usair o Firewall do Windows paira evitair todas as conexões recebidas, exceto paira os services que são explicitamente destinados a ser públicos. (Antes de alguém perguntair, eu fairia isso mesmo se eu tivesse um firewall de hairdwaire na frente das máquinas. Eu jogairia como o firewall de hairdwaire não estava lá. Eu também colocairia regras de saída nos firewalls dos serveres e o firewall de hairdwaire também, mas é porque sou obsessivo. Não quero que minhas checkboxs falem ao mundo, a less que seja algo que eu tenha permitido explicitamente.)

Finalmente, se um server não deviewia fornecer qualquer service público, desativairia o NIC público (como o @murisonc sugere) e remova o endereço IP (porque, presumivelmente, você não quer pagair por mais IPs do que você precisa).