我去过的一个新地方有 3 栋使用思科交换机的光纤连接建筑。它们各自位于单独的子网和单独的 VLAN 上。
192.168.0.0/24 (VLAN 10) Building 1
192.168.1.0/24 (VLAN 20) Building 2
192.168.2.0/24 (VLAN 30) Building 3
每栋建筑也有自己的Domain林,即:每栋建筑的Domain1、Domain2、Domain3。
路由设置在 L3 交换机上,我可以从 192.168.0.100 ping 192.168.1.100 并且没有任何问题。
不过,我不明白为什么 2 号楼能够看到来自其他 VLAN 的广播流量。好吧,也许我措辞有误。基本上,2 号楼的计算机可以成功加入域 1、域 2 或域 3。我猜想这意味着有一些 Windows Server 广播消息可用,因此它们知道在哪里查找。
VLAN 10(建筑物 1)的成员只能加入域 1,当尝试加入域 2 或域 3 时,他们无法找到它们,这正是我所期望的。
我检查了 2 号楼中交换机的 CLI,没有启用 IP 帮助程序或定向广播设置。
有人有什么建议吗?
答案1
我认为您搞混了。查找和加入 AD 域并不依赖于广播流量,而是依赖于与 DNS 服务器(托管 AD FQDN)和域控制器(大多数情况下与托管 AD 域的 DNS FQDN 的服务器是同一台服务器)的直接通信,以使用 DNS、LDAP、RPC、Kerberos、SMB 等协议。
尝试加入域的客户端计算机与域控制器之间的通信是单播的,而不是广播的。