Active-Directory
Windows Server 2012 使用錯誤的 IP 地址進行複制
有沒有辦法手動設置複製時AD將使用的 IP 地址/DNS 記錄?
我有一個“網路中的網路”(NWaN)設置,它跨越兩個遠端位置——所以站點 A 有一個 NWaN,然後有一個IPsec隧道將它連接到站點 B 的第二個 NWaN。定址是這樣的:
ServerDC1 (at Site A) NIC1: 1.1.1.1/24 -- This is accessible from all internal networks, and can reach the internet. NIC2: 1.2.1.1/24 -- This is a private, internal network, and can only be reached from the 1.2.1.x/24 subnet.
ServerDC2 (at Site B) NIC1: 1.1.1.2/24 -- This is accessible from all internal networks, and can reach the internet. NIC2: 1.2.1.2/24 -- This is a private, internal network, and can only be reached from the 1.2.1.x/24 subnet.
ServerDC1 和 ServerDC2 都是用於相互複製的 DNS 伺服器,但它們各自包含自己的 DNS 記錄,以及它們在 1.1.1.x/24 和 1.2.1.x/24 網路上處理的所有客戶端的 DNS 記錄。
這會產生一個問題,因為每當我嘗試在這兩個伺服器之間進行複制時,它們都會嘗試使用它們不可路由的 1.2.1.x 地址而不是它們的 1.1.1.x 地址進行通信。
我可以瀏覽兩台伺服器上的 DNS 記錄並刪除對與這些伺服器關聯的 1.2.1.x 的引用,然後它們會正常複製;但我不確定是否有任何機器需要這些記錄。
那麼有沒有辦法告訴 AD 在複製時只使用 1.1.1.x 地址?
我已經研究過拆分 DNS,但我無法承受它所需的停機時間。
這可能不是您想听到的,但這就是發明防火牆和路由器的原因。這種網路設計基本上是反基督者,破壞了 TCP/IP 的基本建構塊,就此而言,也破壞了 Active Directory。
正確的做法是:
- 將其中一個站點重新編號到不同的子網(例如
1.3.1.0/24
)。- 停止多宿主 DC。讓您的 DC僅位於內部網路上
- 通過路由器連結您的兩個網路。一個路由器將擁有
1.1.1.0/24
並且另一路由器將擁有1.2.1.0/24
並且1.1.1.0/24``1.3.1.0/24
- 設置您的 Active Directory 站點和服務以根據需要定義您的子網。您的 AD 基礎架構不需要了解有關您的
1.1.1.0/24
網路的任何資訊,因為它現在純粹用於傳輸您現在擁有的設置只會讓您頭疼很多,例如:
- 針對非本地域控制器進行身份驗證
- 域控制器在 DNS 中註冊其 IP,似乎可以從兩個位置訪問,但實際上不能
- 進入 DNS 的 DHCP 租約似乎可訪問,但不可訪問
- 客戶試圖訪問在 AD 中發布的服務(例如 Exchange),這些服務似乎可以聯繫到,但無法聯繫到
- 天哪,只是沒有