Active Directory 站点 - 设计和连接

tag-icon tag-icon windows active-directory
Active Directory 站点 - 设计和连接

简短问题;所有客户端是否都需要能够与多站点域中的所有域控制器通信?

的背景: 我目前正在尝试将现有域扩展为多站点域。我阅读了大量 Microsoft 文档,但有些要求和技术细节对我来说仍不清楚。一切都是 Windows Server 2012 R2。

为了稍微解释一下我们的现状,我们有一个现有站点,在单独的管理网络中有 2 个域控制器。然后,我们在单独的客户端网络中有大约 100 个客户端服务器,它们都可以访问托管域控制器的管理网络。我们把这个域称为“int.company.com”。

现在我们即将在第二个位置设置客户端服务器,其中一些服务器将运行现有站点的重复服务(将实施应用程序级 DR 复制),其中一些服务器将运行新服务。管理员将与现有站点的工作人员相同,这是一个远程数据中心站点,而不是有人值守的站点。

从我读过的各种设计最佳实践来看,坚持使用单一域名似乎是最好的前进方式,因为它拥有相同的员工并运行相同/相似的服务。

我已经使用单个域控制器设置了第二个站点,并在 AD 站点和服务中创建了 2 个单独的站点,并为两个站点分配了正确的管理和客户端子网。有一个永久的站点到站点 VPN,防火墙规则允许域控制器相互通信,并且 dcdiag 报告所有 3 个域控制器上一切正常。所有 3 个域控制器还运行 AD 集成 DNS 服务器。

但是,我在两个站点的客户端服务器连接方面遇到了困难。当您查找“int.company.com”时,它会返回所有站点的所有域控制器的 IP 地址,我从站点和服务文档中了解到,客户端服务器无论如何都会查找其本地域控制器,但我们也有各种应用程序和第三方服务使用 ldap 来处理“int.company.com”,而 ldap 并不支持站点感知。当前的站点到站点 VPN 不会为客户端服务器路由流量,只会为域控制器路由管理网络。

理想情况下,我们设想的工作方式是,站点 A 的客户端服务器仅与站点 A 的域控制器对话,站点 B 的客户端服务器仅与站点 B 的域控制器对话。

那么回到问题,所有客户端是否都需要能够与所有域控制器通信?或者这是否意味着我们最好创建一个具有信任关系的单独域来提供更多的流量隔离?

提前致谢!

答案1

是的。如果域控制器注册了其 DNS 记录,则所有客户端都必须能够访问并使用它们。

如果您的域控制器无法访问或位于您不希望其他站点的客户端使用的站点中,则可以将域控制器配置为不注册 DNS 记录。这对于中心辐射型配置中的辐射站点来说很常见。

https://support.microsoft.com/en-us/help/306602/how-to-optimize-the-location-of-a-domain-controller-or-global-catalog-that-resides-outside-of-a-client-s-site

Key: HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters  
Value: DnsAvoidRegisterRecords  
Value type:  REG_MULTI_SZ  
Value Data:

LdapIpAddress
Ldap
DcByGuid
Kdc
Dc
Rfc1510Kdc
Rfc1510UdpKdc
Rfc1510Kpwd
Rfc1510UdpKpwd
GC
GcIpAddress
GenericGc

答案2

虽然我不反对格雷格的观点,但我也不想用我的想法来编辑他的回答。

读这个:https://blogs.technet.microsoft.com/askds/2011/04/29/sites-sites-everywhere/- 和 -https://support.microsoft.com/en-us/help/247811/how-domain-controllers-are-located-in-windows——确保您正确设置了站点和站点特定的 DNS 记录。

您的 DNS 查找不会返回特定于站点的 DNS 记录,只会返回通用记录,这很好。并且 ping 域只会轮询这些通用记录。

如果您有站点特定的 DNS 记录,并且站点和子网已正确设置,则客户端应该首先使用正确的本地 DC。

对于使用实际 LDAP 的应用程序(我假设您的意思是与仅通过操作系统使用 AD 的应用程序相比),您应该为这些应用程序设置主 LDAP/DC 和辅助 LDAP/DC,而不是使用通用域名进行 LDAP 配置。

答案3

从字里行间可以看出,这里有几个问题:

  1. 域客户端是否能够识别站点?是的。域控制器定位器进程将在离客户端最近的站点中寻找域控制器(假设所有配置均正确)。但这不是您的问题的核心。

  2. 应用程序/服务是否支持站点感知?DFS 支持站点感知,Exchange Server 支持站点感知,等等,但您拥有的应用程序不支持站点感知。查询根域时,您的应用程序会收到一个包含所有域控制器的所有 DNS 记录的答案。RFC 6724(取代了 RFC 3484)中详述的目标地址选择算法应该可以“排序”列表,以便最接近客户端的记录是客户端选择和使用的记录(特别是通过使用目标地址选择算法的规则 9)。长话短说:当客户端查询根域并收到包含多个记录的答案时,客户端应该选择最接近它的记录。因此,即使在查询根域时,您的应用程序也应该最终与其自己的站点或下一个最近的站点中的 DC 进行通信。

(我的部分回答引用自下面的链接)。

https://www.rfc-editor.org/rfc/rfc6724#section-6

https://blogs.technet.microsoft.com/networking/2009/04/17/dns-round-robin-and-destination-ip-address-selection/

相关内容