iT邦幫忙

0

Windows 2016/2019安裝AD角色(網域控制站),可以不安裝DNS嗎?

ad dns windows server 2016 windows server 2019
唬爛 2021-02-02 17:33:145144 瀏覽

  • 分享至 

  • twitterImage

如題,依鵝的所學與認知,安裝AD角色,如果不選擇安裝DNS應該不行吧?等會鵝架Lab測試看看
現遇到AD沒安裝DNS(DNS另外架設獨立伺服器),所有client的DNS全部指向獨立架設的DNS...
這種架構,有大大遇過嗎?
++++++++++++++++++
架Lab取消DNS安裝,竟然可以升級為網域控制站...
圖後補
刷清鵝的三觀...
++++++++++++++++++
該駐點工作鵝已離職,故此問題已無需鵝解決
據單位主管表示,該所的AD架構已運行頗久,也未發生什麼問題...
但如有大大有相關經驗,煩請賜教
以上,謝謝

看更多先前的討論...收起先前的討論...
雷伊 iT邦高手 1 級 ‧ 2021-02-02 17:46:03 檢舉
我想應該沒人有遇過網域控制站沒有自己的DNS
唬爛 iT邦好手 1 級 ‧ 2021-02-02 19:34:09 檢舉
鵝今天就遇到了...
剛報到就遇到奇怪的問題...,重點看起來運作正常...
清心明月 iT邦新手 3 級 ‧ 2021-02-02 20:53:56 檢舉
不可以不安裝DNS
窮嘶發發發 iT邦高手 1 級 ‧ 2021-02-05 15:09:04 檢舉
1. DCPROMO 時不裝 DNS 可以,但AD服務沒有真的起來,等AD同步物件的時候就會出錯
2. DNS 裝在另外一台是可以的,但 DC 的DNS 要指向這台DNS,但不裝在DC上的DNS沒辦法 AD 動態更新,如果物件過多的話,或是異動頻繁有可能會發生AD物件與DNS物件不同步的狀況
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

3 個回答

1
cmwang
iT邦大師 1 級 ‧ 2021-02-02 19:00:42

AD骨子裡的Kerberos跟DNS有很密切的關係,DNS不work的話Kerberos(i.e. AD)勢必跟著不work,所以AD特意把DNS分到其它主機不是不行,但勢必要授權AD去update DNS上的資料,以此看來把DNS分到其它主機沒啥意義吧/images/emoticon/emoticon06.gif....

唬爛 iT邦好手 1 級 ‧ 2021-02-02 19:35:33 檢舉

不知?這樣有什麼特殊用途...
鵝也是第一次遇到這種架構...

登入發表回應
0
清心明月
iT邦新手 3 級 ‧ 2021-02-02 20:57:10

Active directory是由 AD, DNS, DHCP, 三位一體缺一不可。 這個關係到整個網絡部署, 甚至乎跨域部署有關。 目的是要達成microsoft對用戶登入並透過Group policy 控制使用者全局的權限及行為。

Windows 2016/2019安裝AD角色(網域控制站),可以不安裝DNS嗎?

不可以不安裝DNS

現遇到AD沒安裝DNS(DNS另外架設獨立伺服器),所有client的DNS全部指向獨立架設的DNS...
這種架構,有大大遇過嗎?

這個是已經廢了武功的AD,做好備份,記錄好全公司的使用者名稱及密碼,記錄好共享權限。然後從裝AD吧,別修了。浪費時間。

所有client的DNS全部指向獨立架設的DNS...

就算所有client的DNS設定全部指向獨立架設的DNS,Active directory還是要安裝 DNS。
這個情況看來,之前安裝Active directory的工作人員,是不認識Active directory。

這種架構,有大大遇過嗎?

有!自己弄過。因為當時不懂。

刷清鵝的三觀...

您可以參考一下,他的問題與您大致相同。裡面有一些細節可以參考。
https://ithelp.ithome.com.tw/questions/10197949

看更多先前的回應...收起先前的回應...
唬爛 iT邦好手 1 級 ‧ 2021-02-02 21:05:11 檢舉

鵝上過MCSA 2008R2的課程,老師也是如此教,鵝的實務經驗也是如此架設(AD+DNS)
但工作現況就是如此架構...,鵝也有點傻眼...,架Lab竟然也可以升級為網域控制站...
沒遇過此種架構(AD(本身沒DNS)+獨立DNS),還真不知如何維護?

唬爛 iT邦好手 1 級 ‧ 2021-02-02 21:09:06 檢舉

重裝AD?
對今天才報到的鵝,大大你認為可能嗎?
鵝還只是一個「駐點」人員...

唬爛 iT邦好手 1 級 ‧ 2021-02-02 21:21:49 檢舉

AD鵝再三檢查,確認沒安裝DNS服務...
所有client含AD的DNS全部指向獨立的DNS主機...

清心明月 iT邦新手 3 級 ‧ 2021-02-02 21:29:12 檢舉

哈! 分享一些應付老板的方法給您。
第一步:發現公司網絡架構不正常,對公司及系統未來一定會有影響。需要一些時間進行分析報告。(別太快)
第二步:報告那裡不正確,不正常,會產生什麼後果,及可能性。未能發揮應有的利益,及未來可做成的損失。
第三步:改善後,會為公司帶來什麼可處,及利益。對公司的發展有可幫助。(回報價值)
第四步:提出改善方案,預算,時間。實施時,對公司的影響評估。
第五步:(您自己想吧)

清心明月 iT邦新手 3 級 ‧ 2021-02-02 21:30:43 檢舉

內文,我改了一下。不知道能否滿足您的答案

補覺鳴詩 iT邦高手 1 級 ‧ 2021-02-02 21:34:04 檢舉

可以問一下為什麼一定要 DHCP 嗎?

清心明月 iT邦新手 3 級 ‧ 2021-02-02 21:34:37 檢舉

剛到公司,就表演一下分析能力給老板看。為老板分憂,讓老板愛上您。/images/emoticon/emoticon01.gif

清心明月 iT邦新手 3 級 ‧ 2021-02-02 21:41:31 檢舉

補覺鳴詩 DHCP 是 AD 標準配備來的。

為什麼一定要 DHCP 嗎?

因為 Microsoft 的 AD 要控制所有電腦的 IP Address, Domain Name(是,您沒看錯,每一台電腦都有Domain Name), Global Group Policy (每一台電腦的Administrator權限,全交給 AD), 新增帳戶 、印表機權、USB、CDROM.....etc 的權限 也交給 AD。 若將來有機會玩 ISA Server,連上網「行為」也交給了 AD

幾點鐘不能用電腦也管到,權力超大。
CDROM 不準用
USB 不準用
軟件不能自由安裝
IT 要裝什麼軟件,一下子全公司自動安裝,無得反對。
應該最後是沒有什麼人權。
/images/emoticon/emoticon09.gif

補覺鳴詩 iT邦高手 1 級 ‧ 2021-02-02 21:45:33 檢舉

可是 我的經驗 你說的這些功能沒有 DHCP 一樣能做耶XD

唬爛 iT邦好手 1 級 ‧ 2021-02-02 21:54:21 檢舉

第二步:報告那裡不正確,不正常,會產生什麼後果,及可能性。未能發揮應有的利益,及未來可做成的損失。

這一點鵝完全沒頭緒...,現階段看來運作正常,只知道這種狀況在主觀上是非「正常」...
至於會有何後果、損失,鵝更不知...,不知的狀態,如何提出改善方案?

froce iT邦大師 1 級 ‧ 2021-02-02 21:54:35 檢舉

沒DHCP可以啦。我從來沒有在AD上裝DHCP。

唬爛 iT邦好手 1 級 ‧ 2021-02-02 22:02:20 檢舉

AD+DNS+DHCP是微軟認證課程Lab的建議理論環境
實務上大多是採AD+DNS,DHCP通常由網路設備來提供服務
所以雙方其實都算對

清心明月 iT邦新手 3 級 ‧ 2021-02-02 22:02:30 檢舉

補覺鳴詩
分別是,你坐在總部就能理的事情,和您必須要跑到該台電腦上設定的分別。
在只有幾台電腦的情況下,您是對的。但不符合標準的做法有什麼好處?

有一些情境,可以大家分享一下:

  1. 若公司要個別的電腦更改IP
  2. 修改個別電腦的列印機的權限
  3. 突然開放個別電腦權限
  4. 不容許員工自定任何IP及權限,否則最高可能解雇。(收回一切權力才是最終目標)
  5. 當然還有很多,最重要是減小公司損失,增加收益。

以上所講的,20人以上的公司已經會考慮。幾百人、幾千人及跨域的需求,更加嚴格。DHCP的權,一定不放。

清心明月 iT邦新手 3 級 ‧ 2021-02-02 22:06:33 檢舉

唬爛您讀 MCSE時,應該了解完整安裝AD的好處,和不完整安裝有什麼壞處,應該會知道吧!

清心明月 iT邦新手 3 級 ‧ 2021-02-02 22:11:36 檢舉

唬爛 froce

AD+DNS+DHCP是微軟認證課程Lab的建議理論環境
實務上大多是採AD+DNS,DHCP通常由網路設備來提供服務
所以雙方其實都算對

實務上若把DHCP分割,AD會有部份功能失效,而且會影響IP及Domain分配。因此,在購買網路設備時,會選擇支持 DHCP Proxy的。

補覺鳴詩 iT邦高手 1 級 ‧ 2021-02-03 10:22:16 檢舉

我沒上過任何專業課程,感謝你的解釋

打雜工 iT邦研究生 1 級 ‧ 2021-02-03 11:19:34 檢舉

小弟個人的經驗,不裝DHCP好像還OK,但DNS為必裝

唬爛 iT邦好手 1 級 ‧ 2021-02-03 12:31:12 檢舉

讀 MCSE時,應該了解完整安裝AD的好處,和不完整安裝有什麼壞處,應該會知道吧!

只能說理論(理想)與實務上會有很大差異...
真的按照微軟理論建置環境,光主機不知就要增加幾台...,不過現在虛擬化進步很多,是有可能依照微軟理論建置環境了!
不過實務上,應該沒幾個會這樣建置...,光Windows授權費,應該會被上頭K...

唬爛 iT邦好手 1 級 ‧ 2021-02-03 12:46:33 檢舉

刪...,誤發

登入發表回應
0
echochio
iT邦高手 1 級 ‧ 2021-02-03 07:21:32

可以不用 DNS 呀
看你的 AD 用途
沒有 DNS 沒法定位 電腦資源,帳號資源還是可以用
如 AD 只當帳號認證,就是 LDAP 認證,沒有問題
用過 AD 帳號認證的 NAS , LDAP 的 mail, git 這些都沒問題.....為啥用 AD 管帳號....因為懶....哈哈

唬爛 iT邦好手 1 級 ‧ 2021-02-03 12:46:59 檢舉

請問是有實務經驗嗎?
請分享,謝謝

echochio iT邦高手 1 級 ‧ 2021-02-03 19:14:15 檢舉

就懶去建立 linux 的 LDAP 有 Server 授權 建立 AD 就用帳密功能
有個 GUI 管帳密
拿去用 gitlab, iredmail, 群輝NAS
用途是用戶輸入帳密去做 git, 收發 mail, 取 NAS 資料......
後來有用過 Zentyal Server 去當 AD .....

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css 程式設計 react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙