我正在上一门涉及安全\恶意软件测试的课程,因此想将我的实验室隔离到他们自己的网络中,而不路由到主站点。我希望能够从主网络上的主 DC 设置策略、创建用户等。防火墙具有路由功能,因此主网络可以访问两个实验室网络,但实验室网络无法与主网络通信,除非建立相关关系。我不是 Windows 的狂热爱好者,所以我需要一点指导。拓扑如下
我没有足够的代表发布图片所以请查看拓扑
我预见到以下问题:
- 实验室 DC 不能使用主 DC 作为 DNS 服务器或 LDAP 服务器,因为实验室 DC 大部分情况下无法与主 DC 通信。各个实验室中的 PC 可以使用各自的 DC 作为 DNS 服务器。
- 主 DC 可以将策略“推送”到其他 DC,但是就上述观点而言,其他 DC 无法从主 DC 拉取任何内容。
- 我认为所有 FSMO 角色都需要在主 DC 上担任。
- 如果实验室 DC 不能使用主 DC 作为 DNS 服务器,我该如何对实验室 DC 进行 DCPromo 呢?
我所尝试实现的目标有可能实现吗?
答案1
主 DC 可以将策略“推送”到其他 DC,但是就上述观点而言,其他 DC 无法从主 DC 拉取任何内容。
我认为所有 FSMO 角色都需要在主 DC 上担任。
的目的是实验室环境的一个缺点是它是自给自足的,不与任何非实验室环境相连。要让您的主 DC 将策略推送到实验室环境,只有将实验室环境连接到主 Active Directory 才有可能。但这样您就不能再将其称为实验室环境了。我不能肯定地告诉您您想要的是否可行,但只是因为(在我看来)它不符合合理的商业信息技术管理实践(这也是一个接近的原因)所以我从来没有实现过这样的事情。
但既然你问的是这是否可行,而不是如何实际做到这一点,那么我会告诉你,你的计划听起来像是更糟糕的做法,而不是进行投票。所以请不要这样做。
我的建议是创建一个自给自足的实验室环境并创建一个新的实验室森林。如果您需要来自主 DC 的策略,那么最好的选择是从 GPMC 导出策略,然后将其重新导入到您的实验室环境中。
编辑:
[从您下面的评论中] 这不是组织中的主 DC。这是班级中的每个人都可以访问的 DC。
我没有从你的问题中理解这一点。在这种情况下,你唯一能做的就是在实验室中实现只读域控制器,这样就不会破坏 AD 复制。但这只能在一定程度上起作用,因为:
如果 WAN 处于离线状态,但分支机构的 RODC 处于在线状态,那么哪些操作会失败?[这反映了您计划的设置;RODC 无法联系可写 DC。]
如果 RODC 无法连接到中心内运行 Windows Server 2008 的可写域控制器,则以下分支机构操作将失败:
密码更改
尝试将计算机加入域
计算机重命名
对凭据未缓存在 RODC 上的帐户进行身份验证尝试
管理员可能通过运行 gpupdate /force 命令尝试的组策略更新
来源:https://technet.microsoft.com/en-us/library/cc754956(v=ws.10).aspx