web-dev-qa-db-ja.com

Windows Server 2008 R2 + Active Directory / DNSサーバー/ DFS

WindowsNLBを使用して負荷分散したい2つのパブリック専用Webサーバーがあります。 DFSレプリケーションを利用して、2つのサーバー間ですべてのファイルの同期を維持したいと考えています。

これを行うには、Active Directoryを構成する必要があります。これには、DNSサーバーもインストールする必要があります。

私はここで少し頭を抱えていることを知っていますが、うまくいけば、これを正しく設定する方法についていくつかの答えを得ることができます。

「dcpromo」ウィザードを使用して、サーバーにドメインコントローラーとDNSサーバーをセットアップできますか?

FQDNには何を使用する必要がありますか?パブリックドメイン名(外部でDNS設定)はhouse-mixes.comですが、house-mixes.localなどの別のものを使用する必要がありますか?

DNSサーバーをインストールすると、house-mixes.com Webサイトを表示するために私のWebサーバーにアクセスするすべての人に影響しますか?

構成して再起動した後、マシンへのアクセスを拒否しないようにしたいだけです。

更新:

DFSは私の状況では理想的ではないかもしれないと指摘された方もいらっしゃると思いますが、エレガントな解決策を見つけるために、シナリオについてもう少し説明します。

高可用性と負荷分散の2つの理由で負荷分散を行っています(かなり忙しいWebサイトです)。

2つのサーバーはそれぞれ同一であり、同じデータが約10 TBあり、サイトのユーザーは毎日平均約10〜15 GBの新しいデータをアップロードし、数GBを削除しても、ファイルが変更されることはありません。 。作成または削除したばかり。

アップロードしたファイルを他のマシンにほぼ瞬時に複製する必要があります。そうしないと、メディアファイルは同期するまで一方のマシンで機能し、もう一方のマシンでは機能しません。

現時点では、SQL Serverデータベースを1台のマシンにのみインストールしているので、別のSQLサーバーを別のマシンのバックアップとしてセットアップしたいのですが、それは別の質問に残しておきます。

現在、私はViceVersa Proと呼ばれるソフトウェアを使用しています。これは基本的にrsyncが行うことですが、ファイルの変更が認識されたときにこれを行う機能があります。このソフトウェアはこれまでのところ問題なく動作していますが、可能であればサードパーティのアプリケーションを使用せずにこれを実行しようと考えていました。

ありがとうございました!

2
Paul Hinett

「...マシンへのアクセスを拒否しないように...」というコメントにより、最初に、実際の実稼働マシンで作業を開始する前に、ラボで仮想マシンを使用してこれをモックアップする必要があることを示唆します。 。

dcpromoは、スタンドアロンのWindows Serverマシンをドメインコントローラー(DC)に「昇格」させるために使用するツールです。 Active Directory(AD)の最初のDCであるため、プロモーション中にMicrosoftDNSサーバーをマシンにインストールするように求められます。マシンはDNSを参照するように構成されます。 DNSにそれ自体とそれ自体のみを使用する必要があります(2番目のドメインコントローラーを昇格させるまで、その時点で1番目のDCは2番目のDCをDNSとして指定する必要がありますサーバーとその逆)。

Microsoftの推奨事項 re:ADドメイン名は、最初に読むのに適した項目です。 「tl; dr」バージョンでは、既に所有しているドメインのサブドメイン(ad.domain.com)、またはパブリックインターネットサービスで使用されていない所有しているドメイン名(someotherdomain.com)のいずれかを使用する必要があります。 )。

「実際の」パブリックドメイン名(Microsoftと私が推奨しない)を使用すると、ADを担当するDNSサーバーが「domain.com」に対して権限があると信じる「スプリットホライズンDNS」状況が作成されますが、パブリックインターネットプレゼンスは、彼らが「domain.com」に対して権威があると考えています。その結果、「domain.com」ADドメインのメンバーであるサーバーとインターネットの両方にアクセスできる必要がある「domain.com」サービスのDNSサーバー間で「A」レコードを同期するという作業が必要になります。ユーザー。

ADドメインに「ad.house-mixes.com」のような名前を付けて、そこから移動します。

ADドメインのメンバーとなるサーバーには、DCで実行されている独自のTCP/IP構成で指定されたDNSサーバーのみが必要です。 DC(それ自体はお勧めできません))が1つしかない場合、メンバーサーバーはDC(DC $ ===( DNSサーバーとして指定されたDNSサーバーを実行します。

一般の人がDCのDNSサーバーにアクセスできないようにする必要があります。一般に公開されていても、セキュリティの脆弱性は発生しませんが、情報が漏洩する可能性があります。潜在的な攻撃者がDNSを介してAD構成について何も学習しないようにする必要があります。

Webサイトにアクセスするサードパーティは、おそらく、既存の信頼できるDNSサーバーによってそこに誘導されます。それがそのまま残っている限り、Webサーバーのドメインメンバーシップ(およびWebサーバーが生成するクエリに使用しているDNSサーバー)によって、Webサイトにアクセスする一般の人々の能力に変化が生じることはありません。

4
Evan Anderson

DFSを設定するのではなく、RSyncのようなものを見て、2つのサーバー間でファイルを同期することができます。これは、2台のサーバー間でDFS用のActiveDirectoryを展開するよりも軽量なソリューションである可能性があります。

http://www.rsync.net/resources/howto/windows_rsync.html いくつかのRSyncプログラムに関する情報を提供します。

考慮すべきもう1つのことは、ファイルが変更される頻度です。コピープロセスを自動化することで機能しますか?ファイルをミラーリングするためのビジネスドライバーは何ですか?

0
ITHedgeHog

他のポスターが説明しているように、DFSはWindowsドメインを必要とするため、最善のソリューションにはなりません。

これは、2つのWebサーバーがある理由に応じて、さまざまな方法で実行できます。あなたのサイトがあなたが2つを必要とするほど多くのトラフィックを得るからですか?冗長性のためだけですか?

詳細を知らなくても、ファイルをNAS(または別のサーバー)に保存し、両方のWebサーバーがそのNASを指すようにすることをお勧めします。そうすれば、1つの場所でファイルを変更するだけで済みます。

0
Jeremy