我的组织正在为一个非常大的应用程序项目在托管提供商处设置新网络。由于整个系统使用 Active Directory,我们计划在那里使用一对域控制器,通过 VPN 复制到我们的总部。这些 DC 还将作为我们现有系统的备份,这样即使我们的总部完全失去连接或断电,远程系统仍可保持运行并仍允许人们登录。
我们的托管服务提供商已将 10.180.87.0/24 设置为我们的子网。但由于我们的内部 IP 是 192.168.1.0/24,并且他们已经在使用它,因此他们要求我们将 NAT 转移到 192.168.50.0/24。这部分不是什么大问题,使用我们的 Watchguard 防火墙设备可以轻松设置。
第一个麻烦的迹象是,当我将两台服务器放在域中时,它们根本无法连接或找到域。我最终将 DOMAIN.LAN 的 NAT 后地址放入两台服务器的 hosts 文件中。然后它们能够找到并加入域。
然而,将它们设为域控制器却是一个问题。它们一路完成设置,然后在尝试设置所有复制时出现错误,提示“RPC 服务器不可用”。我知道域已正确准备就绪,上周我完成了所有准备工作,将一台新服务器升级到 DC 以替换一台旧机器,一切顺利。
我怀疑问题出在 NAT 上,服务器试图使用预 NAT 地址进行设置。我们的提供商希望我们重新映射 IP 方案以适应他们的网络,而我对这个想法并不十分满意。我们正在考虑的一个选项是在 192.168.50.0/24 上创建一个服务器和网络,并使用站点间复制从 10.180.87.0/24 转到 192.168.50.0/24 再转到 192.168.1.0/24(尽管从网络配置角度来看,这可能很复杂)。但我并不完全确定这是否能解决问题。DMZ 是另一种选择,但在我尝试让提供商进行设置之前,我需要对其进行更多研究。
有没有人有过类似的设置经验,或者在远程连接上获取 DC 设置的替代方案?
答案1
您不想通过 NAT 来执行此操作。您可以构建一个噩梦般的场景,在其中管理 DC 的 DNS 记录并在 DNS 中手动注册 NAT“外部”地址。通过 NAT 进行正确的端口转发,您可能可以让一切正常。
最好使用站点到站点 VPN,以允许 DC 进行透明通信,并允许它们在 DNS 中注册其 NIC 分配的地址。公共 IP 地址上的 IPSEC 也是一种可能性。
不过,除了网络通信问题之外,我认为您还担心安全架构问题。
我认为您需要两个 AD 林。您的“后台”AD 林实际上应该与运行应用程序的 AD 林分开。您当然可以在您的物理总部位置内拥有来自应用程序林的副本 DC,但我强烈反对在林之间建立双向信任。我当然不希望两个域都成为同一个 AD 林的一部分。
答案2
由于时间紧迫,我让它工作了,但它完全是黑客行为,我正在努力在未来几个月重建整个网络以消除对它的需要。事实证明,域查找是通过服务器 IP 进行的,但复制是通过查找 GUID 进行的。运行 repadmin /fix /s:DC1 会为您提供一份报告,您可以在其中看到它试图连接的 GUID,这也可以在 DNS 的正向查找区域、domain.loc、_msdcs 下找到。
我在新 DC 上的 Hosts 文件 (c:\windows\system32\drivers\etc\hosts) 中添加了服务器的 NAT 后地址和 GUID,并成功复制了它们。我必须添加以下内容才能使其适用于 NAT 另一侧的每个 DC:
192.168.50.3 DC1.domain.loc
192.168.50.3 b48aa2d2-5b6a-8723-ab6c-239b8a76c782323a._msdcs.domain.loc
我真的不建议其他人在生产系统中长期尝试这样做。我正在记录它并致力于重新设计网络,这是我们摆脱这种情况的总体计划的一部分。