我正在尝试确定是否有可能在同一网络、同一子网内运行两个 Active Directory 域控制器,但有两个独立的域。我不希望这两个域控制器以任何方式(帐户等)链接,除非通过连接它们的交换机。
我目前担心的是 DNS 问题——就我而言,这是主要问题。由于我只有一个 DHCP 服务器处理整个网络,因此我希望将一组 DNS 服务器 IP 地址分发给所有客户端。但是,DomainA 的 DNS 服务器将无法回答 DomainB 的查询,依此类推。
我想这可以通过转发器解决 - 即,我可以在我的 DHCP 配置中设置两个 DNS 服务器的 IP 地址,然后告诉 DomainA 将对 *.DomainB 的请求转发到 DomainB 的 DNS,反之亦然。我还可以使用单个聚合将请求正确转发到各个服务器。
但是,我不知道这是否可行,或者是否有更好的选择。如果这是一个商业网络,我将继续设置 VLAN、多个 DHCP 服务器等。但是,我追求简单(尽可能简单,就像您在家中使用域控制器一样...)
在同一网络上运行两个域控制器的原因是什么?我在家里运行一个实验室,现在我说服与我同住的人运行他们自己的域控制器。但是,出于安全原因,我想将所有内容分开。
任何帮助都将不胜感激。
答案1
两个域在同一网络上不会互相干扰。除非您手动建立信任,否则它们之间不会建立信任。
DHCP 问题是一个有效的观点,您的潜在修复是正确的 - 您可以通过 DHCP 分发一个域的 DNS 地址,并使用转发器来解析另一个域的命名空间。另一种修复方法是手动为其中一个域上的客户端配置网络,并将其 DNS 手动指向正确的域控制器。您可以让另一个域的客户端通过 DHCP 工作。
我们有几个用于内部测试的子网,上面运行着 5 个以上的不同域,没有什么实际问题。
答案2
我写了一个相当长的答案,关于为什么你不应该走这条路,然后我重新阅读了你的问题,看到你说这是在你家里的部分,所以这是我修改后的答案:
通过 DHCP 仅分配一个域的 DNS 服务器。在这些 DNS 服务器上,为另一个域设置条件转发器或为另一个域创建存根区域。
我没有这样做过,所以我不能 100% 肯定它是否会起作用,但我想不出它不起作用的任何理由。
答案3
我刚刚完成了迁移场景的此操作。它有点奏效。
需要注意的是域名后缀。如果指定一个,客户端将很难解析某些主机名。所以不要指定。这样,客户端将根据它们加入的域来解析主机名。
除此之外,只要正确设置您的 DNS 条件转发器就可以了。
答案4
是的,可以在同一网络、同一子网内运行两个 Active Directory 域控制器,但有两个独立的域,而无需以任何方式链接它们。但是,正如您所提到的,DNS 可能是一个潜在的问题。
您建议使用转发器的解决方案是一个有效的选择。您可以配置每个域控制器以将对另一个域的请求转发到适当的 DNS 服务器。这将允许任一域上的客户端解析来自另一个域的名称。
另一个选项是配置条件转发器。这允许您指定用于特定域的特定 DNS 服务器。因此,例如,在域 A 的 DNS 服务器上,您将为域 B 配置条件转发器,指定域 B 的 DNS 服务器的 IP 地址。这将允许域 A 上的客户端解析域 B 中的名称,而无需依赖转发器。
就 DHCP 而言,您可以配置 DHCP 服务器,将两个 DNS 服务器 IP 地址都分发给客户端。客户端将根据其所属的域使用适当的 DNS 服务器。
总体而言,您的方法对于家庭实验室设置来说似乎是合理的。只需确保彻底测试以确保一切按预期运行即可。