我有遍布世界各地的客户。 他们在主要位置有2个域控制器,而其他每个位置都通过vpn通道连接到主站点。 目前networking或多或less都是灾难性的,所以我正在努力解决这个问题。 辅助站点的一个共同点是它们在networking设置中的路由器具有ISP本地DNS服务器,所以它们的基于DHCP的计算机得到“错误”的DNS服务器。 多年来一直如此,他们使用IP地址连接到服务器。
所以我想用适当的DNS服务器来解决这个问题。所以我打算在唯一的服务器上使用RODC和DNS服务器(terminal服务和像Visual Studio这样的人们用来工作的几个程序) 。 另一种select是从主要位置inputDNS服务器,但是如果隧道出现故障,员工会感到困惑,并且无法访问互联网(因为他们需要更改路由器设置),所以这看起来不是可靠的解决scheme。
我的问题如下:
当使用RODC时,你真的有2个DNS选项
显然,在RODC(或在该办公室)上具有可写主区域是一个安全问题。
假设你有这个,并且你已经在你的密码复制策略中正确地设置了caching的凭据,那么当networking出现故障时,你的用户应该能够继续工作。
假设你有一个只读DNS区域去与你的RODC,那么这应该是安全的。 很明显,如果你在本地caching证书,那么存在一些风险,但是如果你正在正确使用你的PRP,那么如果发生任何事情,你应该能够撤销这些证书。