我们的整个 Active Directory 林目前位于单个 10/8 私有子网上。我们希望将大部分服务器迁移到云提供商,但我不知道如何在新的云位置设置第一个域控制器。
我读过很多有关信任(外部、快捷方式和领域)以及站点(站点链接、站点间复制和子网)的文章,但我不太清楚哪些适用于我们的情况。最终目标是拥有两个独立的私有子网,并在它们之间同步 Active Directory 用户和组数据。我们可以打开任何必要的端口,以便域控制器可以通过公共 IP 地址相互通信。
我读过很多(似乎是)相关的官方文档,但我无法将抽象概念与我的情况需要做的事情联系起来。应该采取哪些步骤来完成我想做的事情?
答案1
我认为您只是在寻找托管在“云提供商”的虚拟机上的副本域控制器。不要担心信任关系、多个域等——这些都不适用于您。
站点、站点链接和子网确实适用于您。我写了一个答案关于“站点”在 Active Directory 中的作用可能值得一看。
当您提到“打开端口”和公共 IP 地址时,我开始担心了。如果您和“云提供商”之间没有 VPN,那么您确实需要使用 IPSEC 来保护您的通信。这将使部署域控制器 (DC) 变得更加困难。可以使用 AuthIP 功能通过 IPSEC 连接部署域控制器,以加入要升级到域的计算机,以便它可以使用 IPSEC 与现有 DC 进行通信。(微软对 AuthIP 的文档记录非常少,这让事情变得更加困难。)
你真的您既不希望在 Internet 上以明文形式在 DC 之间进行通信,也不希望 Internet 上的任何人公开访问它们。(您也不希望您的成员计算机通过 Internet 以明文形式与您的 DC 进行通信。)
基本步骤如下:
在 Active Directory 中创建与新 DC 将驻留的站点和 IP 子网相对应的站点和子网对象
配置要提升为 DC 的计算机以从现有 DC 的 DNS 服务器接收 DNS 服务
加入要升级到域的计算机,如有必要,使用 AuthIP 在加入过程中与域建立 IPSEC 通信
使用以下方式提升新的 DC
dcpromo
(通过从 GUI 调用或直接运行)
假设要提升的机器可以解析您的 Active Directory 域中的名称,并且可以通过它所需的所有端口连接到现有 DC(如果您让它们通过 IPSEC 进行通信,就可以保证这一点),则在该过程dcpromo
完成时,您将获得一个副本域控制器。
您所谈论的事情绝不是平凡之举。您将很难找到定期支持此类基础设施的人。(也许随着时间的推移,这种情况会变得更加普遍,但目前肯定不常见。)