背景:
我们为我们的小型公司建立了单林单域 AD。我们有两个地理上分开的站点,它们具有不同的子网。这两个站点都已在 Active Directory 站点和服务中添加为具有适当子网的站点。站点1运行良好,并使用自动生成的复制拓扑自动进行复制。所有域控制器均为 Windows Server 2012。DNS 已集成活动目录。
插图:
约束:
没有 MPLS。没有 CISCO ASA 等基于硬件的 VPN 选项。
到目前为止我尝试过:
- 将公共静态 IP 映射到DC1使用我的 ISP 的 CPE 路由器(我不知道它是如何工作的,但有一个控制台,我可以在里面将公共 IP 映射到内部私有 IP)
- 没有公共静态 IP站点2。但是,由于他们使用拨号连接,因此他们获得一个动态公共 IP(每次连接到互联网时都会不断变化)
- 双方DC1和DC2我启用了 RRAS。创建了请求拨号适配器。
- 在DC2按需拨号适配器我提供了DC1,并将静态路由设置为192.168.2.0
- 在DC1请求拨号适配器我省略了DC2(因为我没有静态 IP),并将静态路由设置为 192.168.1.0
此后,连接成功建立,我可以从两端 ping 两个服务器。我将 Demand-Dial 适配器设置为“执着的“并且 ping 仍能正常工作。
问题):
- 我无法 ping 通其他机器站点2从站点1反之亦然。我以为这是一个站点到站点的 VPN,因此所有机器都可以访问另一个站点中的其他机器。我错了吗?无论如何,这不是我现在的要求。只要两个服务器DC1和DC2能够互相见面,对我来说很好。
- 每台服务器的两个 DNS 服务器中都会出现多个条目。第一个是实际的内部 IP,即 192.168.1.x 和 192.168.2.x。第二个是 VPN 分配的 IP。第三个是分配给DC2(每次都在变化,因此条目会累加)!这意味着每当我使用名称 ping 服务器时,它都会在每个连接上解析为不同的 IP。我真的不知道这是否是个问题?
- 然而,AD 拓扑以某种方式拾取了服务器,但不断改变链接。一会儿 DC2 的 NTDS 设置显示 DC1,一会儿又变为 ADC3(Site1 中的另一个 DC),每当我右键点击和 ”立即复制“,它说的是“...无法复制,因为它正在被移动..“。
- 大多数情况下,复制工作正常,但只是单向的。从站点 1-DC1到站点 2-DC2. 绝不来自站点 2-DC2到站点 1-DC1。 它说, ”RPC 服务器不可用“。
我一直抓狂不已,但就是不明白发生了什么。首先,这是我针对我的场景采取的正确方法吗?如果是,我做错了什么?
答案1
要解决 #2,请从调制解调器、VPN 和 DHCP 池的网络远程获取内部 DNS IP 地址。如果这些网络连接没有获取 IP,则它们不会在 DNS 中注册自己。
答案2
没有基于硬件的 VPN 选项,例如 CISCO ASA 等。
为什么?我可以以每台 100 英镑的价格购买设备,这样可以省去很多工作,这太荒谬了。您有一个 ISP 提供的路由器,但“您不知道它是如何工作的”,并且在站点 2 处还有另一个未指定的调制解调器,您的 DC2 有一个公共 IP 和一个私有 IP……这太复杂了。
- 获取每个站点的静态 IP
- 在两端安装自己的路由器
- 在路由器之间配置 IPSEC 站点到站点 VPN
就是这样。