有没有办法手动设置 IP 地址/DNS 记录广告复制时会使用吗?
我有一个“网络内的网络”(NWaN)设置,它横跨两个远程位置 - 因此在站点 A 有一个 NWaN,在站点 B 有一个IPsec隧道将其连接到站点 B 的第二个 NWaN。寻址如下:
ServerDC1 (at Site A)
NIC1: 1.1.1.1/24 -- This is accessible from all internal networks, and can reach the internet.
NIC2: 1.2.1.1/24 -- This is a private, internal network, and can only be reached from the 1.2.1.x/24 subnet.
ServerDC2 (at Site B)
NIC1: 1.1.1.2/24 -- This is accessible from all internal networks, and can reach the internet.
NIC2: 1.2.1.2/24 -- This is a private, internal network, and can only be reached from the 1.2.1.x/24 subnet.
ServerDC1 和 ServerDC2 都是用于相互复制的 DNS 服务器,但它们各自包含自身的 DNS 记录以及它们在 1.1.1.x/24 和 1.2.1.x/24 网络上处理的所有客户端的 DNS 记录。
这就产生了一个问题,因为每当我尝试在这两台服务器之间进行复制时,它们都会尝试使用其不可路由的 1.2.1.x 地址而不是 1.1.1.x 地址进行通信。
我可以检查两台服务器上的 DNS 记录并删除与这些服务器关联的 1.2.1.x 的引用,然后它们就可以正常复制了;但我不确定是否有任何机器需要这些记录。
那么有没有办法可以告诉 AD 在复制时仅使用 1.1.1.x 地址?
我已经研究过分割 DNS,但我无法承受它所需要的停机时间。
答案1
这可能不是您想听到的,但这就是防火墙和路由器被发明的原因。这种网络设计基本上是反基督的,破坏了 TCP/IP 和 Active Directory 的基本构建块。
这正确的这里要做的事情是:
- 将其中一个站点重新编号为不同的子网(例如
1.3.1.0/24
)。 - 停止对 DC 进行多宿主。让您的 DC仅有的位于内部网络上
- 通过路由器连接两个网络。一个路由器将具有
1.1.1.0/24
和1.2.1.0/24
,其他路由器将1.1.1.0/24
具有1.3.1.0/24
- 设置您的 Active Directory 站点和服务以根据需要定义您的子网。您的 AD 基础设施不需要了解您的
1.1.1.0/24
网络的任何信息,因为现在它仅用于传输
您现在的设置只会给您带来很多麻烦,例如:
- 针对非本地域控制器进行身份验证
- 域控制器在 DNS 中注册其 IP,看似可从两个位置访问,但实际上不能
- DHCP 租约进入 DNS,看似可以访问,但实际上不可访问
- 客户端尝试访问 AD 中发布的服务(例如 Exchange),这些服务似乎可以联系,但实际上无法联系
- 天啊,不行
答案2
在 Active Directory 站点和服务 MMC 中,您可以指定手动复制拓扑,而不是在将域控制器添加到域时生成的自动拓扑。
打开服务器管理器 > Active Directory 站点和服务。您将看到列出的域,其下方是名为“站点间传输和 IP”的文件夹。您必须深入研究,但最终会看到站点链接。
如果您没有看到预期的那么多站点链接,则您可能没有在此 MMC 中正确设置所有站点,在这种情况下,您需要指定它们并允许在更改链接之前进行复制。