我正在尝试使用一台物理服务器和一个 Windows Server 2019 许可证建立一个新的 Active Directory 网络。
每个 LAN 都有一个连接,带有一个 VLAN,连接到相邻的建筑物,从现在起,我可以从那里获得 Internet、DHCP 等。遗憾的是,我没有办法配置路由器。
我知道,您需要 DNS 和 DHCP 服务器才能使 AD 正常工作。为此,我们需要某种可执行 NAT 的路由器,以便域控制器可以执行 DHCP 和 DNS。我还想有 2-3 个子网,并在它们之间进行路由,以及某种 VPN 服务器。
我是否需要创建一个 VM 虚拟机管理程序,其中运行 Windows Server 和某种基于 Linux 的路由器,或者 Windows Server 可以单独完成所有这些操作?
从技术上讲, Windows Server可以路由和 NAT,事实上,“客户端”版本 (Windows 10/11) 甚至默认为 WSL2 使用的 Hyper-V 交换机设置了路由和 NAT,更不用说 ICS(一种较旧的 NAT 实现)已经存在了几十年。但据我所知,它不是一个好的路由器。
例如,它的防火墙似乎非常注重本地输入/输出,我不知道您是否可以配置它来过滤转发的跨子网流量。一般来说,让您的域控制器执行与 DC 无关的任务也不是最好的主意——无论如何,我宁愿使用 Hyper-V 和仅限 DC 的 VM,以使其更具前瞻性。
因此,如果您需要多个 VLAN,那么最好使用专用路由器 VM(基于 Linux 或 BSD;例如 pfSense/OpnSense 是流行的基于 BSD 的路由器系统)。或者理想情况下,整个物理路由器 – 例如运行 OpenWrt 或 Mikrotik RouterOS 的路由器应该足够强大。
(据我记得,Hyper-V GUI 管理工具没有为虚拟机提供“中继”模式,但可以通过 PowerShell 使用。)
Active Directory 并不严格要求 DHCP。它的主要要求是所有客户端必须能够解析 AD DNS 上托管的域名(因为这些域名会告诉客户端在哪里找到域控制器)。因此,如果您使用现有路由器的 DHCP 作为 IP 地址,但手动设置所有 PC 以使用 AD DC 作为其唯一的 DNS 服务器,那么这对于 AD 来说“足够好”,尽管长期管理起来很繁琐。