В последнее время всё чаще на форумах стали появляться вопросы об организации маршрутизатора на контроллере домена или решения сложностей в работе контроллера домена с несколькими сетевыми интерфейсами. В своих статьях я уже обращал внимание на рекомендации Microsoft для настройки таких контроллеров домена. В данной статье я подробнее опишу настройку и контроллера домена и маршрутизатора, который будет настроен в режиме NAT с помощью RRAS. Если предоставление доступа к интернету осуществляется другими приложениями, то алгоритм по настройке идентичный. Аналогичная настройка производится и в операционной системе Windows Server 2012 R2. Исходные данные:

 - виртуальный сервер под управлением Windows Server 2012 SE. CPU i7-2600, RAM 2 GB, две сетевые карты
 - виртуальный клиент под управлением Windows 8 EE. CPU i7-2600, RAM 2 GB

 Настройки сетевых интерфейсов сервера и настройка внешнего сетевого интерфейса WAN для работы в домене.

adnat1.png

adnat4.png

 Установка и настройка NAT, используя роль Remote Access описана в данной статье. Устанавливаем роль контроллера домена. Кроме стандартных настроек (сеть в сайте, обратная зона ДНС, порядок ДНС в сетевой карте) необходимо отключить принимать запросы с внешнего интерфейса. Для IPv6 тоже. Именно эта настройка влияет на работу служб Active Directory, и мультисетях внешние сетевые интерфейсы должны быть исключены!

adnat14.png

Если вы сделали всё правильно, то в ДНС в прямой зоне (везде, где выделено красным) будут следующие записи и больше никаких. После любых перезагрузок сервера мы будем получать стандартное сообщение от ДНС сервера под номером 4013.

adnat15.png

Проверим трассировку до exonix.ru - всё работает. Второй узел не ответил, т.к. это внешний адрес NAT. Об этом я напишу ниже.

adnat16.png

 Что будет если включить регистрацию сетевого интерфейса в ДНС и разрешить отвечать на запросы с внешнего интерфейса? Тогда в ДНС появятся лишние записи, из-за которых и случаются сбои, решаемые на форумах. А так как эта запись является внешним адресом NAT, то ни один клиент из внутренней сети никогда не получит доступ к нему (некоторые специально настроенные Linux-маршрутизаторы позволяют это сделать). Это подобено попытке открыть дверь с внешней стороны, находясь внутри комнаты. По этому компьютеры теряют связь с доменом, так обращаются на недоступный адрес контроллера домена. Для решения неприятных ситуаций с AD Microsoft рекомендует отключить регистрацию внешнего интерфейса в ДНС и удалить лишние А записи в ДНС зоне. Если у вас несколько контроллеров домена помимо установленного с RRAS, то ещё рекомендуется отключить Round-robin для ДНС.

adnat17.png

 В рекомендации ни слова о ДНС настройках в свойствах внешнего сетевого интерфейса. По этой причине лично я оставляю там ДНС провайдера, как и в любом маршрутизаторе. Например Dlink Dir-400, Zyxel Keenetic, Cisco 7204. Список можно продолжать - это стандарт для маршрутизаторов. Правда для Cisco здесь не указывается интерфейс.

А теперь попытаемся ввести клиентскую машину в наш домен. Так как в нашей тестовой среде нет DHCP сервера, и DNS-суффикс не определён, то необходимо ввести полное имя домена:

adnat18.png

26.06.2013