Windows Server 2012 使用错误的 IP 地址进行复制

Windows Server 2012 使用错误的 IP 地址进行复制

有没有办法手动设置 IP 地址/DNS 记录广告复制时会使用吗?

我有一个“网络内的网络”(NWaN)设置,它横跨两个远程位置 - 因此在站点 A 有一个 NWaN,在站点 B 有一个IPsec隧道将其连接到站点 B 的第二个 NWaN。寻址如下:

ServerDC1 (at Site A)

NIC1: 1.1.1.1/24 -- This is accessible from all internal networks, and can reach the internet.

NIC2: 1.2.1.1/24 -- This is a private, internal network, and can only be reached from the 1.2.1.x/24 subnet.

ServerDC2 (at Site B)

NIC1: 1.1.1.2/24 -- This is accessible from all internal networks, and can reach the internet.

NIC2: 1.2.1.2/24 -- This is a private, internal network, and can only be reached from the 1.2.1.x/24 subnet.

ServerDC1 和 ServerDC2 都是用于相互复制的 DNS 服务器,但它们各自包含自身的 DNS 记录以及它们在 1.1.1.x/24 和 1.2.1.x/24 网络上处理的所有客户端的 DNS 记录。

这就产生了一个问题,因为每当我尝试在这两台服务器之间进行复制时,它们都会尝试使用其不可路由的 1.2.1.x 地址而不是 1.1.1.x 地址进行通信。

我可以检查两台服务器上的 DNS 记录并删除与这些服务器关联的 1.2.1.x 的引用,然后它们就可以正常复制了;但我不确定是否有任何机器需要这些记录。

那么有没有办法可以告诉 AD 在复制时仅使用 1.1.1.x 地址?

我已经研究过分割 DNS,但我无法承受它所需要的停机时间。

答案1

这可能不是您想听到的,但这就是防火墙和路由器被发明的原因。这种网络设计基本上是反基督的,破坏了 TCP/IP 和 Active Directory 的基本构建块。

正确的这里要做的事情是:

  1. 将其中一个站点重新编号为不同的子网(例如1.3.1.0/24)。
  2. 停止对 DC 进行多宿主。让您的 DC仅有的位于内部网络上
  3. 通过路由器连接两个网络。一个路由器将具有1.1.1.0/241.2.1.0/24其他路由器将1.1.1.0/24具有1.3.1.0/24
  4. 设置您的 Active Directory 站点和服务以根据需要定义您的子网。您的 AD 基础设施不需要了解您的1.1.1.0/24网络的任何信息,因为现在它仅用于传输

您现在的设置只会给您带来很多麻烦,例如:

  1. 针对非本地域控制器进行身份验证
  2. 域控制器在 DNS 中注册其 IP,看似可从两个位置访问,但实际上不能
  3. DHCP 租约进入 DNS,看似可以访问,但实际上不可访问
  4. 客户端尝试访问 AD 中发布的服务(例如 Exchange),这些服务似乎可以联系,但实际上无法联系
  5. 天啊,不行

答案2

在 Active Directory 站点和服务 MMC 中,您可以指定手动复制拓扑,而不是在将域控制器添加到域时生成的自动拓扑。

打开服务器管理器 > Active Directory 站点和服务。您将看到列出的域,其下方是名为“站点间传输和 IP”的文件夹。您必须深入研究,但最终会看到站点链接。

如果您没有看到预期的那么多站点链接,则您可能没有在此 MMC 中正确设置所有站点,在这种情况下,您需要指定它们并允许在更改链接之前进行复制。

相关内容