Active-Directory

Windows Server 2012 使用錯誤的 IP 地址進行複制

  • November 27, 2015

有沒有辦法手動設置複製時AD將使用的 IP 地址/DNS 記錄?

我有一個“網路中的網路”(NWaN)設置,它跨越兩個遠端位置——所以站點 A 有一個 NWaN,然後有一個IPsec隧道將它連接到站點 B 的第二個 NWaN。定址是這樣的:

ServerDC1 (at Site A)

NIC1: 1.1.1.1/24 -- This is accessible from all internal networks, and can reach the internet.

NIC2: 1.2.1.1/24 -- This is a private, internal network, and can only be reached from the 1.2.1.x/24 subnet.

ServerDC2 (at Site B)

NIC1: 1.1.1.2/24 -- This is accessible from all internal networks, and can reach the internet.

NIC2: 1.2.1.2/24 -- This is a private, internal network, and can only be reached from the 1.2.1.x/24 subnet.

ServerDC1 和 ServerDC2 都是用於相互複製的 DNS 伺服器,但它們各自包含自己的 DNS 記錄,以及它們在 1.1.1.x/24 和 1.2.1.x/24 網路上處理的所有客戶端的 DNS 記錄。

這會產生一個問題,因為每當我嘗試在這兩個伺服器之間進行複制時,它們都會嘗試使用它們不可路由的 1.2.1.x 地址而不是它們的 1.1.1.x 地址進行通信。

我可以瀏覽兩台伺服器上的 DNS 記錄並刪除對與這些伺服器關聯的 1.2.1.x 的引用,然後它們會正常複製;但我不確定是否有任何機器需要這些記錄。

那麼有沒有辦法告訴 AD 在複製時只使用 1.1.1.x 地址?

我已經研究過拆分 DNS,但我無法承受它所需的停機時間。

這可能不是您想听到的,但這就是發明防火牆和路由器的原因。這種網路設計基本上是反基督者,破壞了 TCP/IP 的基本建構塊,就此而言,也破壞了 Active Directory。

正確的做法是:

  1. 將其中一個站點重新編號到不同的子網(例如1.3.1.0/24)。
  2. 停止多宿主 DC。讓您的 DC位於內部網路上
  3. 通過路由器連結您的兩個網路。一個路由器將擁有1.1.1.0/24並且另一路由器將擁有1.2.1.0/24並且1.1.1.0/24``1.3.1.0/24
  4. 設置您的 Active Directory 站點和服務以根據需要定義您的子網。您的 AD 基礎架構不需要了解有關您的1.1.1.0/24網路的任何資訊,因為它現在純粹用於傳輸

您現在擁有的設置只會讓您頭疼很多,例如:

  1. 針對非本地域控制器進行身份驗證
  2. 域控制器在 DNS 中註冊其 IP,似乎可以從兩個位置訪問,但實際上不能
  3. 進入 DNS 的 DHCP 租約似乎可訪問,但不可訪問
  4. 客戶試圖訪問在 AD 中發布的服務(例如 Exchange),這些服務似乎可以聯繫到,但無法聯繫到
  5. 天哪,只是沒有

引用自:https://serverfault.com/questions/738960