尊敬的客户,您好!
感谢您在我们的TechNet论坛发帖。
问题1:DC服务器使用双网卡和除了DNS服务外不启用其他服务的文档。
对于DC服务器使用双网卡:
如果是双网卡的DC, 为了防止出现解析问题,一般是让不需要用的那张网卡不要在DNS中注册。
Steps to avoid registering unwanted NIC(s) in DNS on a Mulithomed Domain Controller
https://support.microsoft.com/en-us/help/2023004/steps-to-avoid-registering-unwanted-nic-s-in-dns-on-a-mulithomed-domai
对于DC除了DNS服务外不启用其他服务:
通常,我们希望DC只是DC,别无其他服务,因为这可以减少可能的资源冲突,并最大程度地减少可能导致停机的其他应用程序的修补。理想情况下,如果DC出现问题且无法修复的话,只需安装另一个DC即可轻松更换DC。 当您在DC上放置其他软件和角色时,将会影响到其他的服务或者应用程序,并且很难替换它。
很抱歉没有找到官网文章,因为DC不是必须不能加其他的服务,我们可能还会根据自己的环境或者需要添加其他的服务,但是不推荐这么做。这里有一个三方的链接供您参考。
What software and roles are OK to install on a domain controller (DC)?
https://www.itprotoday.com/windows-8/q-what-software-and-roles-are-ok-install-domain-controller-dc
问题2:DC服务器上防火墙配置建议的文档,如端口、是否启用windows防火墙的文档。
要防止DC免受攻击的话 我们推荐开启防火墙,关于防火墙的端口配置,见如下的文档:
How to configure a firewall for Active Directory domains and trusts
https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts
Active Directory and Active Directory Domain Services Port Requirements
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10)?redirectedfrom=MSDN
Active Directory Replication over Firewalls
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/bb727063(v=technet.10)?redirectedfrom=MSDN
Securing Domain Controllers Against Attack
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/securing-domain-controllers-against-attack
注意:此回复中包含第三方链接,我们提供此链接旨在于方便参考, Microsoft 不能保证此链接中的任何信息和内容的有效性。
此致,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com.
DC服务器配置文档
