我必须为公司建立新的基础设施。 目前有连接到 INTERNET 的网关/NAT 路由器,它在这个子网内提供 LAN 子网(DHCP、DNS、 RevDNS、OpenVPN 和一些不重要的)我有带有文件服务器和一些工作站、打印机和其他设备的 samba NT4 PDC(在同一子网中)。 我想将 NT4 域迁移到 AD-DC 域(或者构建一个新域,如果那样会更容易的话)。我知道 samba 有自己的 DNS 服务(我可以为 DC 提供 FQDN),但我不知道如何配置它。
- 我需要在 DC 上还是在 GATEWAY 上运行 DHCP?
- samba DC DNS 是否为同一子网中网络中的其他设备提供静态 DNS?
- 我可以在一个接口上运行 samba DC 还是我需要第二个(对于域计算机是否需要 NAT)
- 移动设备怎么样,用户可以使用网络外的设备吗?
- 如何为外部用户提供VPN访问文件服务器,是否需要对DC DNS进行特殊配置?
DHCP 完全独立于 Active Directory;它可以在您想要的任何系统上运行。
是的; 域成员计算机将自动在 AD DNS 中注册自己,您还可以通过 RSAT 或 samba-tool 添加自定义静态条目。
这些设备不必位于同一子网中。
接口的数量无关紧要。域控制器不是路由器(不像 1980 年代的“LAN 服务器”)——Active Directory DC 运行标准的基于 TCP/UDP 的服务,并且设备仅在需要检索某些目录信息时才连接到它。
此外,与旧的 NT4 域不同,Active Directory 不使用 NetBIOS,也没有特定的子网或路由要求。只需通过常规单播 IP 即可访问 DC。
从技术上讲,是的。AD 协议使用标准的 TCP/UDP,并且不受限于单个 LAN。
但是,出于安全原因,设备应使用 VPN 连接到您的网络。(一些 AD 协议——DNS、Kerberos、LDAPS——可以安全地公开;其他如 RPC 或 CLDAP——不是那么多。允许与 DC 的任何外部连接可能不是最好的主意。)
请注意,Windows 将在每次成功登录后将凭据缓存约 14 天,因此即使无法访问 DC,移动笔记本电脑也可以短时间工作。
与本地子网一样,VPN 不需要特殊路由,只需要普通的单播访问。
对于 DNS,主要要求是客户端设备必须能够解析AD DNS 名称。您可以通过不同的方式实现这一点——通过将内部 DNS 地址推送到 VPN 客户端,或者通过为域配置全局注册名称(例如“ad.example.com”)。(我建议两者都做。)
各种站点都说客户端设备必须直接使用 AD DC DNS,但这并不是严格的要求。AD DNS 没有任何需要直接进行查询的特殊之处。