两个 Active Directory 服务器是否需要互相查看以进行复制?

两个 Active Directory 服务器是否需要互相查看以进行复制?

我正在尝试为 DR 设置一个远程 DC,我选择将其放在 AWS 的 VPC 中,同时备份我们的其他服务器。我可以使用安全组将其限制为仅接受来自主办公室 IP 的流量,同时仍具有公共 IP 地址,因此本地办公室的主要 DC 可以正常看到它。

更困难的是让 AWS 中的这个远程实例看到本地办公室中的 DC。我可以使用 Shrew Soft 连接到我们的 Cisco IPSEC VPN,但过去 VPN 对我来说通常不太可靠。我也不想尝试进入将流量从此远程 IP 定向到本地 DC 的防火墙规则。

有没有办法设置复制,让本地 DC 推出数据,但远程 DC 永远无法直接联系它?也许我通过 VPN 进行设置,但将远程 DC 的 IP 更改为其外部 IP 并断开 VPN 连接?如果远程 DC 必须是只读的,我没问题,只要我可以更改其角色以进行测试/DR。

答案1

手动编辑 DNS 条目以尝试让本地 DC 与远程 DC 通信根本不起作用。我的所有复制链接都消失了。所以我只能假设 VPN 将保持活动状态,并且本地 DC 对远程 DC 的公共 IP 一无所知。它只通过 VPN IP 进行通信。我会尝试登录并定期检查它是否仍在运行。到目前为止,它比家庭体验更稳定。

虽然任一站点的更改都会传播到另一站点,但我仍然在事件查看器中看到很多错误,提示无法正确生成生成树。但它正在移动数据,即使需要通过另一个 DC 或其他东西进行额外的跳跃。我会研究这个单独的问题,并可能在有机会再次深入研究时就此提出问题。

相关内容