我有一个非常奇怪的场景...我们在 DMZ 内有一个服务器,它使用 RODC(只读域控制器)进行用户身份验证。用户位于受信任的第三个域中,如下所示:
DMZ 服务器 -> RODC -> InternalDC -> TrustedDC -> 用户
这一切都是为了让我们能够通过 RDP/登录到 DMZ 服务器。它目前适用于较旧的 Windows 2008R2 服务器,但当我们尝试使用这些新服务器时(设置基本相同(相同的网络子网、相同的防火墙规则、与 RODC 的经过验证的通信等),它将不会通过 RODC 进行身份验证或与 InternalDC 通信。
我查看了复制,并以不同的时间和方式将 DMZServer 加入/重新加入内部域。但是我仍然遇到 netlogin 问题,它无法连接到 RODC 进行 DNS、时间设置、登录身份验证等...
这令人抓狂,我不知所措,所以我希望有人能给我一些指导或指点,告诉我如何收集更多有关这方面的信息。
我已经查看了 位于我们 DMZ 中的 Windows Server 2012 R2 Standard 与 RoDC 的连接存在问题
但是,那里提供的带有站点名称的解决方案并不能解决我的问题,并且已经过多次测试。
任何帮助,将不胜感激!
答案1
所以我们似乎找到了解决当前问题的方法。所以我们预先填充了帐户详细信息和密码,并将其从内部读/写域控制器复制到 DMZ 站点内的 ReadOnlyDomainController (RODC)。一旦我们将计算机详细信息复制/缓存到 RODC,计算机帐户 (Windows 2012 R2) 服务器就可以正常通信了。
我们仍在与微软合作进行调查,但希望这能够帮助其他在 DMZ 设计中可能遇到 RODC 系统类似奇怪行为的人。
如果您对此问题还有其他疑问,请告诉我,我很乐意提供更多信息。