这里有点超出我的理解范围……
我们有一间配备 Windows 2003 AD 域控制器的小型办公室。即将开设第二间小型(远程)办公室,并希望两间办公室共享同一个域。它们彼此位于 Internet 的另一端,但偶尔可以创建 VPN 连接。
我的第一个想法是将第二个办公室设置在单独的子网上。我计划将 PDC 复制到新办公室,但不知何故将其降级为备份域控制器,该域控制器将定期通过 VPN 连接到 PDC(域更改很少见)。
这是否只是一场即将发生的灾难?有没有更好的办法?我试过谷歌搜索,但不太确定该如何称呼我制造的这场混乱 :)
谢谢您的任何建议。
答案1
如果可以的话,我建议使用 VPN 路由器在两个办公室之间建立 VPN。您没有说明您使用的是哪个 Windows 版本,但根据版本,域控制器有多种选项。例如,Win 2008 将允许只读域控制器。PDC 和 BDC 不与更高版本的 Windows 一起使用
正如其他人所指出的,有许多 VPN 设备可以建立链接。主站点上的路由器可能具有此功能。我们在辅助站点使用 Cisco 800 系列,在主办公室使用 Cisco 1800。Cisco Small Business VPN 设备运行良好。我们已将它们用于客户,它们非常可靠。将它们放在好的 UPS 上
您还需要查看第二个站点将如何处理 DNS、DHCP 等,以及如果链接由于某种原因失败会发生什么。
如果每个站点都有域控制器,那么即使 VPN 出现故障,DNS 仍会正常工作。这对我们来说是可行的
在远程站点,本地服务器将作为主 DNS,并使主站点成为辅助 DNS。您也可以在主站点将远程站点设为辅助 DNS。
答案2
我们有一个类似的设置。总部只有一个域,远程办公室也使用同一个域。我们在每个站点都配备了 SonicWall NSA 3500,它有一个“始终在线”的站点到站点 VPN 隧道。远程办公室位于他们自己的子网中,SonicWall 负责处理两个子网之间的路由。效果非常好。有许多具有站点到站点 VPN 功能的路由器。SonicWall 对我们来说效果非常好(实际上,我们还有第三个远程位置,它有到其他两个位置的站点到站点隧道,所以我们有一个“三重力量”VPN 正在运行)。
答案3
在第二个站点安装服务器,但不要将其设为域成员(更不用说域控制器)。使用与其他办公室不同的网络 IP 范围。
在Windows内部两端设置“路由和远程访问”,将旧站点设为VPN服务器。
使用 RRAS 创建从新站点到旧站点的按需拨号 VPN 连接。将其设置为断线时自动重新连接。
在活动目录中为新办公室创建第二个“站点”,并设置适当的子网
启动VPN连接。
将新服务器上的 DNS 客户端设置设置为指向旧办公室网络上的 DNS 服务器(通过 VPN)
通过 VPN 连接将新服务器加入域
在新服务器上安装 DNS 服务,但尚未配置。
运行 DCPROMO 通过 VPN 将新服务器提升为域控制器
假设 AD 集成 DNS,您所要做的就是更改新服务器的 DNS 客户端设置,使其自身指向为主 DNS,而旧站点指向为辅助 DNS。
使旧站点指向新站点的域控制器作为 DNS 的辅助。