我是否需要为 VPN 网络创建 AD 站点

我是否需要为 VPN 网络创建 AD 站点

我有 Windows 域级别 2008 R2。四个不同的物理位置有四个GC DC。我有基于 Kerio 的 VPN 网络用于复制和远程管理。

网络配置方式如下:

     dc1:
     local IP: 192.168.0.10
     VPN IP: 192.168.1.10

     dc2:
     local IP: 10.10.8.11
     VPN IP: 192.168.1.11

     dc3:
     local IP: 10.10.9.12
     VPN IP: 192.168.1.12

     dc4:
     local IP: 10.10.10.13
     VPN IP: 192.168.1.13

这很简单,复制并且一切正常,但是在运行时dcdiag出现dc3错误:

     A warning event occurred.  EventID: 0x000016AF
     During the past 4.12 hours there have been 216 connections to this Domain 
     Controller from client machines whose IP addresses don't map to any of the
     existing sites in the enterprise. 
     <...> 
     The log(s) may contain additional unrelated debugging information. 
     To filter out the needed information, please search for lines which contain text
     'NO_CLIENT_SITE:'. The first word after this string is the client name 
     and the second word is the client IP address.

以下是netlogon.log线条示例:

     05/30 12:07:39 DOMAIN.NAME: NO_CLIENT_SITE: dc2 192.168.1.11
     05/31 09:52:11 DOMAIN.NAME: NO_CLIENT_SITE: dc4 192.168.1.13
     05/31 19:49:31 DOMAIN.NAME: NO_CLIENT_SITE: adm-note 192.168.1.101
     07/01 05:16:26 DOMAIN.NAME: NO_CLIENT_SITE: dc1 192.168.1.10

所有加入 VPN 的计算机都会生成与上述相同的日志行。计算机amd-note例如是管理员的笔记本电脑,也具有 VPN。

问题是我是否应该添加新的 AD 站点并将 VPN 子网192.168.1.0/24与该站点绑定?

答案1

DC 通常只应连接到一个网络,并且只有一个 IPv4 地址和一个公布的 IPv6 地址(如果您使用的是 IPv6,所有好人都会这样做)。您永远不应该将它们设置为多宿主,因为这往往会导致可达性问题并使事情变得混乱。

您当然可以为此创建一个单独的网站。它会消除警告并让您更接近 BCP,但不会完全实现。

正确的做法是,要么将包含您的 DC 的网络路由到 VPN(无需它们具有额外的 IP),然后将 VPN 子网添加到您的站点,要么创建一个额外的 DC(它们作为虚拟机非常便宜),在您的 VPN 子网上给它一个 IP,然后将其添加到新的 VPN 站点。

也就是说,这些警告并不致命,而且完全无关紧要,除非您的网络非常大或具有大量高延迟链接,并且 VPN 客户端在连接到随机选择的 DC 时会遇到问题或性能不佳。

相关内容