我的组织正在为一个非常大的应用程序项目的托pipe提供商build立一个新的networking。 由于整个系统使用Active Directory,我们计划使用一对域控制器,通过VPN复制到我们的总部。 这些区议会也可以作为我们现有系统的备份,这样我们就可以在总部完全失去联系或权力,而远程系统可以保持不变,并且仍然让人们login。
我们的托pipe服务提供商设置了10.180.87.0/24作为我们的子网与他们一起使用。 但是因为我们的内部IP地址是192.168.1.0/24,而且他们已经使用了它们,所以我们需要将NAT转换为192.168.50.0/24。 这部分不是一个大问题,可以通过我们的Watchguard防火墙设备轻松设置。
麻烦的第一个迹象是,当我把两个服务器的域名,他们根本无法连接或find域名。 最后,我把DOMAIN.LAN的post-NAT地址放到两台服务器上的hosts文件中。 然后他们能够find并join域名。
使他们域控制器,但一直是一个问题。 他们一路通过安装程序,然后在尝试使用“RPC服务器不可用”设置所有复制时出现错误。 我知道该域名准备正确,上周我做了所有准备工作,以促进一个新的服务器到DC,以取代旧的机器,通过罚款。
我怀疑NAT是这个问题,服务器正在尝试使用NAT之前的地址来设置自己。 我们的供应商希望我们重新devise我们的IPscheme以适应他们的networking,我对这个想法并不感到激动。 我们正在考虑的一个选项是在192.168.50.0/24上创build一个服务器和networking,并使用站点间复制从10.180.87.0/24到192.168.50.0/24到192.168.1.0/24(尽pipe这可能会混乱的networking但是我并不完全相信这是否能解决问题。 DMZ是另一种select,但在我试图让我们的提供商设置之前,需要更多地考虑它。
有没有人有类似的设置或远程连接DC设置的替代scheme的经验?
你不想通过NAT来做到这一点。 您可以构build一个恶梦场景,在这个场景中pipe理数据中心的DNSlogging,并在DNS中手动注册NAT“外部”地址。 通过NAT的正确的端口转发,你可能会使所有的工作。
您最好使用站点到站点VPN,以便DC能够进行透明通信,并允许他们在DNS中注册其分配给NIC的地址。 公共IP地址上的IPSEC也是可能的。
除了networking通信问题,我认为你有一个安全架构问题。
我会争辩说,你需要两个AD森林。 您的“后台”AD森林应该真正与运行您的应用程序的AD森林分开。 您当然可以从您的物理总部位置的应用程序林中获得副本DC,但我强烈build议不要在森林之间build立双向信任关系。 我当然不希望两个域都成为同一个AD森林的一部分。
由于时间紧迫,我得到了它的工作,但它是一个完整的黑客,我正在重build整个networking在未来几个月,以消除它的需要。 事实certificate,域名查询是通过服务器IP,但复制是通过查找GUID。 运行repadmin / fix / s:DC1为您提供了一个报告,您可以在其中看到它正试图连接的GUID,这也可以在正向查找区域domain.loc,_msdcs下的DNS中find。
我添加到新的DC上的主机文件(c:\ windows \ system32 \ drivers \ etc \ hosts)都是服务器的后NAT地址和GUID,我能够让他们成功复制。 这是我不得不添加在NAT的另一边每个DC的工作:
192.168.50.3 DC1.domain.loc 192.168.50.3 b48aa2d2-5b6a-8723-ab6c-239b8a76c782323a._msdcs.domain.loc 我真的不build议任何人尝试在长期的生产系统中做这件事。 我正在logging下来,并正在努力将networking重新devise,作为我们摆脱这一整体计划的一部分。
这可能不是一个完整的答案,但似乎根据MSFT ,有一个registry设置,允许计算机在DNS中注册替代IP。
HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters Registry Value: PublishAddresses Registry Value Type: REG_MULTI_SZ Registry Value Data:<IP addresses>
显然,如果你为服务器设置NAT服务器的IP地址,那么另一端的机器应该能够与之通信。
链接的文章是专门讨论在NAT环境中使用它来设置AD。