我们使用具有一个域和一个子域的 Active Directory。子域用于“独立”服务器,我们的内部(父)域不应访问这些服务器。这些服务器位于特定子网中,其中有一个子域控制器。
这两个子网允许域控制器通过 IPSec 进行通信,以便我们可以在内部网络上管理子域。dcdiag/repadmin 没有显示错误。
我们还使用应该有权访问子域的管理帐户。如果我们在内部子网/子域 dc 上设置组和成员,则此方法可行。
我们遇到的一个问题是,很长一段时间内都会发生以下情况:
子域成员服务器上的管理员尝试从父域 A 添加用户。用户名解析需要很长时间,而且经常失败。成员服务器可以联系子域 DC(也是 GC),但无法直接联系父域 DC(因为它位于另一个子网上)。如果我们尝试多次添加用户,则在第三次/第四次尝试后会成功,但等待 5-10 分钟才能将一个用户添加到组中,这确实很耗时。
我的问题:是否有可能通过子域 DC “代理”父域的查询?IPSec 是否可以作为成员服务器的一个选项(子域 DC <-> 父域 DC 通过 IPSec 进行通信)?
答案1
好的-我通过 ipsec 隧道解决了这个问题。
我为内部/外部 DC 创建了一个 GPO,并为子域上的每个 DC/成员服务器定义了一个服务器到服务器 IPSec 连接。现在它可以正常工作,没有任何减速。