Innledning
Som nervesenteret i alle ressurser og tjenester i nettverket er det ikke overraskende at Active Directory-domenekontrollere samhandle tett med andre viktige tjenester på nettverket. To slike tjenester som er Dynamic Host Configuration Protocol (DHCP) service og Domain Name System (DNS) service. Den første av disse tjenestene opprettholder din Internet Protocol (IPv4 og /eller IPv6) adressering av ulike noder (datamaskiner, servere, rutere, etc) på nettverket mens andre hjelper kunder (brukere, applikasjoner, systemer, etc) isere ressurser (andre systemer, fildelinger, nettsteder, skrivere etc) på nettverket ved hjelp av en vennlig lett å huske navngi ordningen som www.mywonderfuldomainname.com stedet for vanskelige å huske 204.71.200.67 (en IPv4-adresse) eller enda vanskeligere å husker 2001: 4860:. 8006 :: 69 (en IPv6-adresse)
Men mens Active Directory må samordne mange av sine aktiviteter med DNS og DHCP-tjenester på nettverket, disse tjenestene må også være robust og selvstående og i store organisasjoner er de ofte styres separat fra Active Directory for å sikre deres pålitelighet. Denne artikkel undersøker noen av de ulike problemstillinger vedrørende hvordan DHCP tjenester interoperates og samhandler med Active Directory katalogtjenester på domenekontrollere.
Kjøre DHCP Server rollen på en domenekontroller
Kan DHCP Server rolle være installert på din domenekontrollere måten DNS Server rollen vanligvis gjøres? Og hvis det kan gjøres, er det en god idé å gjøre det?
Det korte svaret er at ja du kan kjøre alle tre rollene (Active Directory Domain Services, DNS og DHCP) på samme server uten problemer. Men det er ett fikser du må være klar over hvis du har planer om å installere DHCP Server rollen på domenekontrollere og det er at det er noen ekstra konfigurasjon må du utføre om legitimasjon som DHCP Server vil bruke når det trenger for å utføre DNS-registreringer på vegne av DHCP-klienter i nettverket. Den autoritative veiledning om dette er gitt i Microsoft Support artikkel KB282001 men informasjonen der er datert og noe obskure gjør det vanskelig å forstå. En mye bedre forklaring på det underliggende problemet og hvordan du skal ta det opp er levert av Karam Masri, en Microsoft Premier feltingeniør i De Forente Arabiske Emirater, i hans TechNet blogginnlegg med tittelen DHCP Server i DCs og DNS Registreringer og jeg anbefaler på det sterkeste at du leser denne artikkelen hvis du har planer om å kjøre DHCP Server rollen på noen av dine domenekontrollere. Andre artikler du vil også sannsynligvis ønsker å lese på TechNet angående denne saken er den som heter Eliminer manuell oppdatering av DNS-poster ved å konfigurere dynamisk oppdatering og sikre dynamisk oppdatering og en annen med tittelen DHCP: legitimasjon for DNS oppdateringen skal konfigureres hvis sikre dynamisk DNS oppdatering er aktivert og domenekontrolleren er på samme vert som DHCP-serveren.
Dette løser ikke men min andre spørsmålet, nemlig om det er en god idé å kjøre DHCP Server rollen på domenekontrollere. Generelt svaret mitt er at med unntak av testmiljøer er det ikke en god idé å gjøre dette. Mitt resonnement er i utgangspunktet at det er lettere å stivne og patch servere når rollene er fordelt blant dem i stedet for integrert på dem. Hvis du har flere server roller installert på en server system (fysisk eller virtuelt) da konsernRegler for herding disse serverne vil være komplisert og noen av policyinnstillinger kan komme i konflikt. For eksempel kan du finne at en viss politikk bør settes en måte å herde en av rollene på boksen, men en annen måte å herde en annen rolle. Dernest, jo flere roller du installere på en server jo flere patcher må brukes på maskinen som gjør det mer sannsynlig at en buggy patch vil føre til problemer for flere nettverkstjenester i stedet for bare en nettverkstjeneste. Dette også som regel gjør det vanskeligere å identitet, feilsøke og løse problemet forårsaket av buggy patch. Så generelt jeg favoriserer så mye separasjon av roller som mulig mellom serverne i nettverket, og med virtualisering dette blir enkle å gjennomføre uten ekstra kostnad -. Bare spinner opp flere virtuelle maskiner for de ulike server roller du må installere
Kjøre en domenekontroller som en DHCP-klient
Det motsatte scenario fra hva vi vurderte ovenfor er om en domenekontroller i seg selv kan ha sin IP-adresse dynamisk tilordnet av en DHCP-server et eller annet sted på nettverket. Kan en domenekontroller være en DHCP-klient? Og er det en god idé å gjøre det?
Først la meg si at svært få kunder som jeg har hørt om noen gang har prøvd å gjøre denne typen ting i sitt produksjonsmiljø. Mens mange server roller inkludert DHCP Server, DNS server og WINS Server krever at du angir en statisk IP-adresse for serveren under prosessen med å installere rollen, ikke domenekontrolleren (AD DS) rolle ikke kreve dette. Så du kan lage DHCP reservasjoner på DHCP-serveren og bruke disse til å dynamisk gi samme IP-adresser i domenekontrollere hver gang de trenger for å starte på nytt, for eksempel etter å ha påført en patch eller under noen annen form for vedlikehold. Men det er en klar risiko involvert i å følge denne tilnærmingen fordi hvis en domenekontroller reboots og for hvilken som helst grunn ikke er i stand til å kommunisere med DHCP-server for å hente en IP-adresse, vil domenekontroller være ute av stand til å levere katalogtjenester til kunder på nettstedet sitt.
Så vidt autoritativ veiledning fra Microsoft er bekymret over dette problemet, TechNet artikkel med tittelen Installere og konfigurere Domain Controller som er datert fra Windows Server 2003 æra trolig fortsatt gjelder (siden Microsoft ikke oppdaterer all sin dokumentasjon), og sier følgende: ". Veiviseren vil varsle deg om at datamaskinen har en dynamisk tildelt IP-adresse Vanligvis ville du ikke tilordne en dynamisk IP-adresse til en domenekontroller er imidlertid akseptabelt for denne enkle denne konfigurasjonen. nettverk hvor fresen er benyttes som DHCP-serveren. " Så dersom nett oppsettet er enkelt, kan det være akseptabelt å tildele domenekontrolleren IP-adresse dynamisk via DHCP.
Men det er også noen gode ikke-autoritativ (ikke Microsoft offisielt) veiledning om dette problemet der ute som dette temaet har fått fornyet interesse med utviklingen av cloud computing. For eksempel denne Quora diskusjonstråd snakker om denne saken i sammenheng med rennende domenekontrollere i Amazon Web Services (AWS). På samme måte tar for seg dette TechNet Wiki artikkelen et lignende scenario for domenekontrollere som kjører i Microsoft Azure Infrastructure as a Service (IaaS) skyer.
Likevel fikk spørsmål om Active Directory?
Hvis du har noen spørsmål om domenekontroller hardware planlegging, det beste stedet å spørre dem er Active Directory Domain Services forum på TechNet. Hvis du ikke får hjelpen du trenger det, kan du prøve å sende spørsmålet ditt til [email protected] slik at vi kan publisere den i English våre lesere delen av vårt nyhetsbrev og se om noen av de nesten 100 000 IT pro abonnenter av vårt nyhetsbrev har noen forslag angående problemet. Anmeldelser