DNS與AD整合區的設定問題

dns ad windows server 2008

amandas88 2012-01-26 23:38:12 ‧ 15311 瀏覽

大家好，我是IT菜鳥，剛進入這行沒多久，目前在公司遇到一個問題是這樣的
我們公司剛換新的Server一台，準備淘汰舊有的三台Server，因為景氣不好，只能一台當好幾台用，主管是這麼打算的
就讓這台全裝備的Server負責所有的事情，於是乎AD、WEB、DNS、FILE、FTP、SQL等等等，能掛的服務都掛上了
硬體上CPU跟記憶體直接都上到最頂端，硬碟使用SSD+RAID，硬體方面我想應綽綽有餘
至於服務方面，因為有考量到DNS、WEB服務有在一起，加上有AD存在，安全性雖然有疑慮但是沒辦法
這台大玩具丟過來後，開始準備設定工作，我按照程序，從AD開始
AD架好後，網域是xxx.com.tw，AD整合區
但是，後來思考到有要提供DNS服務時，哈哈哈，好像開始覺得不對勁啦，不過AD設好了要倒帶覺得遲了
以前學習經驗，基於安全理由大多是內外之分
對內：xxx.local，AD整合
對外：xxx.com.tw
嗯嗯嗯，提供DNS服務很簡單，但是在保障安全的前提下，又是對外又是AD這個就是有點學問了，這下好，魚和熊掌兼得法正考驗著我
又要提供對外DNS服務
又要對內提供AD整合區
以現在xxx.com.tw的狀況下，尷尬到不知如何做才好
不知道有誰能幫我化解這狀況？就現況能提供一個最佳化的好方案？因為過沒幾天這台就要上線我也不敢做大動作白做工，我想知道其他人對一般DNS跟AD整合區怎麼去合理的設定
另外網路界面卡的DNS設定在此狀況下要加哪幾筆DNS IP(主要次要)才比較理想呢？
目前的Server是2008

看更多先前的討論...收起先前的討論...

Ken(Bigcandy) iT邦大師 1 級 ‧ 2012-01-27 00:18:27 檢舉

因為你只有這一台dns，沒法分內外，就讓他擔任內部DNS吧
外部DNS，通常簡單點就是交給網路公司，例如HINET有DNS代管
每一家都有這種服務，看你們線路是哪一家，通常是免費的

其次，也有免費DNS公司，如果上面方法不成，我要翻一下資料。

slime iT邦大師 1 級 ‧ 2012-01-27 00:39:29 檢舉

以個人淺見, 至少還要考慮以下因素:
1. AD 雖然用了 DNS , 但基本上仍是區域網路的授權控管, 與一般網站用的 DNS 最好分開.
2. 沒必要的情況, 內部網路與外部網路盡量分開, 甚至加上 DMZ 區. (這部份需要防火牆或 IP 分享器配合)
3. 請描述一下各主機服務的服務對象, 把 FTP / File Server 對外是個高風險的事情.
4. 之前的主機功能是什麼? 為什麼會三台合成一台? 有使用虛擬化架構嗎?

*. 強烈建議您快找 SI 公司或前輩幫您再分析一下, 很擔心這架構一上線就被黑掉.

slime iT邦大師 1 級 ‧ 2012-01-27 00:41:38 檢舉

補充:
有評估過各項系統負擔(CPU, RAM, 網路, 磁碟 IO)嗎?

amandas88 iT邦新手 5 級 ‧ 2012-01-29 13:07:16 檢舉

一台DNS server是可以分內外喔，我的狀況是手按太快直接網域設成對外用的，又想說不降級的狀況下完成改網域名動作，因為改名這動作比想像中高難度，只好作罷撸回一般SERVER再昇DC了，只是2008很煩，有些設定會判定不保險而警告，只有一台SERVER而已阿，沒辦法，警告就警告吧，不影響功能就好

amandas88 iT邦新手 5 級 ‧ 2012-01-29 13:16:27 檢舉

因為之前那麼多台SERVER只負責很少的事情，你知道的，主管只要覺得你很閒，不管機器或是人，沒必要就會整併啦，一切全看他們的爽度，個人建議只做參考

至於安全性的問題，個人是覺得還好啦，沒什麼寶藏可以讓人挖的，我們只是小小目標不會讓人覺得有成就感，但是我們該做的還是有做，防火牆也設定得很嚴密，很單純的就是網域設錯想改而已，因為準備上線階段，沒掛什麼服務，所以撸掉AD再重新建比較省時省力

花輪 iT邦大師 1 級 ‧ 2012-01-29 16:57:45 檢舉

amandas88提到：
一切全看他們的爽度，個人建議只做參考

建議可以找一些網路上專家的說法或意見(例:本站)MAIL給主管參考，就算他不聽您的意見，也該看看網路上的專家(專業)說法，不然，以這樣的做法，不但安全性值得擔憂，若連備份也沒考慮進去，那真不知該系統能撐多久?!

slime iT邦大師 1 級 ‧ 2012-02-02 12:36:47 檢舉

amandas88提到：
因為之前那麼多台SERVER只負責很少的事情，你知道的，主管只要覺得你很閒，不管機器或是人，沒必要就會整併啦，一切全看他們的爽度，個人建議只做參考

至於安全性的問題，個人是覺得還好啦，沒什麼寶藏可以讓人挖的，我們只是小小目標不會讓人覺得有成就感，但是我們該做的還是有做，防火牆也...(恕刪)

建議換個角度跟說法, 相信主管跟老闆改變心意的可能性很大, 但以下用詞請自行斟酌:

我們也在盡量幫公司省錢(省員工要花的錢 XD), 可是公司要長久經營(我才能領到退休金),
主機雖然會異動(幫我買好一點的可以玩開心農場), 好的架構卻是可以省下很多錢(這是真的, 沒有 OS ),
所以把 AD 放在內部供....(功能自己想), DNS 放在外部是比較好的架構. (這是目前活的比較久的架構).
不然對外 DNS 停擺, 人家看不到公司網站, 現在 Google 這麼強, 結果找不到公司網站, 會少掉一些生意(這是真的, 只是這生意比重實在很難估), 所以至少四台主機(如果要更多台就要有理由啦~), 兩台對內(AD + File Server), 兩台對外(其實一台也 OK 啦), 這樣才能達到備援.

(主管皺眉)
不然外面少一台, 不過申請免費 DNS 託管, 還有開放大家上 Dropbox , 就可以省下 FTP Server (嗯....用某種條件換某種條件 :p ).

這樣的講法, 明確描述您對公司有認同, 同時滿足員工福利(為了提供員工滿意度啊~), 又沒有多花錢, 只是用比較"好"的分析方法, 講出具體需求而已. (話術, 作生意就要善用話術~)

slime iT邦大師 1 級 ‧ 2012-02-02 12:43:52 檢舉

話術重點:
1. 要證明您對技術面及架構的了解. (所以備援的重要性....)
2. 要具體提出您建議的方案與優缺點, 丟給主管/老闆選.
3. 要適當引用參考資料, 例如這邊大家都建議要注意安全跟備援的重要.
4. 要讓主管/老闆有面子, 或您對公司的認同. (這是一定要的, 領老闆的錢還讓老闆沒面子那是找死)
5. 其他的就順序, 態度, 用詞上的修正.
6. 如果以上都能滿足, 再穿插給員工或自己的福利. (老闆爽了接下來當然也要讓員工爽, 只要讓老闆賺的錢沒少, 甚至能說服老闆錢會變多或開銷變少.)

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

terryc3

iT邦新手 5 級 ‧ 2012-01-27 09:42:04

問題1 - 準備淘汰舊有的三台Server，因為景氣不好，只能一台當好幾台用
走上雲端系統. 可以用 proxmox 這個免費的開源程式.
我二哥在台南的工廠是已經架了3台簡稱 pxx. 每一台是 i7 2600 8gb memory.
每台都可以裝各種系統. 那你就可以跑很多 win2008, xp, linux systems.
pxx 很好用. 只要 copy 硬碟的影像檔. 就可以copy 出很多相同的系統來.
我是儘量用 linux 的因為用資源少又免費可以跑很多系統. 不用煩惱付不完的版費.
好處太多. 平常就該架一台來用. 用久了就習慣了.

問題2 - DNS 問題.
我二哥的情況是用2個外部 dns 系統, 跑 Turnkey Linux 的系統, 因為用很少 memory.
才設定 192 MB memory 給它. 其實才用不到 100 MB.
將來用 openvz 模式下. 根本是不用 memory的. 因為它們系統之間是共用 memory 的.
openvz 的好處太多. 這裡也不好說.

另外外面有很多免費的 DNS 網站. 我用過 Zoneedit.com, 基本的功能都有.
這樣也可以不用架外部 dns server.

上面有提到的名字. 你都可以 google 查一下.

回應 1
分享
檢舉

amandas88 iT邦新手 5 級 ‧ 2012-01-29 13:01:00 檢舉

VM化是很好的方案阿，我也覺得不錯，但是主管認為一台SERVER一個OS才能發揮效能，好吧，誰叫你是主管，我知道你一聽到虛擬就感覺虛無飄渺沒安全感，卻不知道VM不會因為SERVER硬體更換影響運作呢

登入發表回應

林門神JanusLin

iT邦超人 1 級 ‧ 2012-01-27 21:17:43

未正式上線前
移DC
再重新新增DC
對內：xxx.local,AD整合
對外：xxx.com.tw,標準區

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

amandas88 iT邦新手 5 級 ‧ 2012-01-27 21:30:56 檢舉

我想這個是最後手段了，目前未上線還沒把所有服務掛上的狀況下是比較快速有效，不過我是想看看有沒有有趣的方法

amandas88 iT邦新手 5 級 ‧ 2012-01-27 23:55:26 檢舉

因為等不到其他答案，只好先移除再新增了，目前的狀況是這樣
xxx.local---AD整合
xxx.com.tw--對外標準
網卡DNS設定是
127.0.0.1
168.95.1.1
因為只有一台server沒有其他能提供DNS的內部server，所以副手設了168.95.1.1，想當然爾，168.95.1.1無法解析內部位置，使用best practices analyzer測試一定會有錯，現況下是否有讓它不報錯的方法？