我使用大型 Active Directory。我们的域控制器分布在许多站点上。在我的站点,我们一直在尝试创建一个私有网络,该网络只能访问大型网络中一小部分服务器。此访问通过路由器上的访问控制列表进行控制。除了 Active Directory 集成之外,一切都按我们的计划进行。
我们原本计划在这个私有网络中安装多台 Windows PC,这些 PC 仍将参与活动目录,但这很麻烦。我们能够使此配置“工作”,但效果并不令人满意。用户可以使用他们的域帐户登录,但必须在输入凭据后等待大约 20-40 分钟。
看起来私有网络内的计算机正在尝试连接到各个公司域控制器,但由于 ACL,它们只有在最终偶然发现我们的本地站点 DC 时才会成功。我坚决抵制通过将每个全局 DC 添加到 ACL 中来解决这个问题的诱惑,因为私有网络的目的是提高安全性。
有没有办法让这样的配置工作?我认为只需要客户端选择一个本地 DC,但我不知道允许这样做的机制或设置。我不是域管理员,但他们目前没有提供任何解决方案。
有什么想法吗?在私有网络中没有 Active Directory 集成对于可管理性而言是一个巨大的损失。
编辑:关于将私有网络范围放入站点和服务的想法……这是我预期可能的反应方向,我至少应该注意到这一点。我不愿意继续将私有网络添加到站点和服务中,因为可以预见 2 个站点可能会使用相同的子网。老实说,这是我不熟悉的领域。如果这是一个可行的解决方案,我推测 PC 最初加入 AD 仍然是一个缓慢的过程,但以后的访问会通过站点和服务配置中的缓存提示进行优化?