当 VPN 隧道关闭时,外部位置的只读域控制器可以工作吗?

当 VPN 隧道关闭时,外部位置的只读域控制器可以工作吗?

我的客户在世界各地有多个站点。他们在主要位置有 2 个域控制器,其他每个位置都通过 VPN 隧道连接到主要站点。目前网络或多或少处于灾难状态,所以我正在尝试修复它。辅助站点的一个共同点是,它们的网络设置中的路由器有 ISP 本地 DNS 服务器,因此它们基于 DHCP 的计算机会获取“错误”的 DNS 服务器。这种情况已经持续了很长时间,他们使用 IP 地址连接到服务器。

因此,我希望使用适当的 DNS 服务器等来修复它。因此,我计划在位于该位置的唯一服务器(带有终端服务和一些人们用于工作的程序,如 Visual Studio)上使用 RODC 和 DNS 服务器。另一个选项是从主位置进入 DNS 服务器,但如果隧道中断,员工会感到困惑,无法访问互联网(因为他们需要更改路由器设置),因此这似乎不是一个可靠的解决方案。

我的问题如下:

  1. 如果 VPN 隧道发生故障,人们是否可以顺利使用 DNS(他们可以访问互联网)并且可以向本地服务器/工作站进行身份验证?
  2. 将 RODC/DNS 服务器与用户和其他程序放在同一台服务器上是否安全且值得推荐(??)或者相反不建议这样做?
  3. 关于此设置还有其他建议吗?

答案1

使用 RODC 时,您实际上有 2 个 DNS 选项

  • 一个只读主区域(是的,我知道这听起来不对,但事实确实如此),它是活动目录集成的,或者
  • 标准二级区域

显然,在 RODC 上(或在该办公室)拥有可写的主区域是一个安全问题。

假设您有这个,并且您已经在密码复制策略中正确设置了缓存凭据,那么当网络出现故障时,您的用户应该能够继续工作。

假设您有一个只读 DNS 区域与 RODC 配合使用,那么这应该是安全的。显然,如果您在本地缓存凭据,则存在轻微风险,但如果您正确使用 PRP,那么如果发生任何事情,您应该能够撤销这些凭据。

相关内容