的背景:
我目前正在尝试将现有域扩展为多站点域.我已经完成了很多关于Microsoft文档的阅读,但我仍然不清楚一些要求和技术细节.一切都是Windows Server 2012 R2.
为了解释我们所获得的一些内容,我们有一个现有的站点,在一个单独的管理网络中有2个域控制器.然后,我们在单独的客户端网络中有大约100个客户端服务器,它们都可以访问托管域控制器的管理网络.我们称这个域为“int.company.com”.
现在我们即将在第二个位置设置客户端服务器,其中一些服务器将从现有站点运行重复的服务(将实施应用程序级DR复制),其中一些服务器将运行新服务.管理员将与现有站点的员工相同,这是一个远程数据中心站点,而不是载人站点.
从我所阅读的各种设计最佳实践来看,坚持使用单一域名似乎是最好的前进方式,因为它是相同的员工和运行相同/类似的服务.
我已经使用单个域控制器设置了第二个站点,并在AD站点和服务中创建了2个单独的站点,并为这两个站点分配了正确的管理和客户端子网.有一个站点VPN的永久站点,防火墙规则允许域控制器相互通信,并且dcdiag报告在所有3个域控制器上都很好.所有3个域控制器也运行AD集成DNS服务器.
但是,我在两个站点的客户端服务器连接都很困难.在您查找“int.company.com”时,它返回所有站点上所有域控制器的IP地址,我从“站点和服务”文档中了解到客户端服务器将始终以任何方式查找其本地域控制器,但我们还有各种应用程序和第三方服务使用ldap对“int.company.com”,这是不知道网站的.当前的站点到站点VPN不会为客户端服务器路由流量,仅为域控制器的管理网络路由流量.
理想情况下,我们设想这种方式的工作方式是,站点A的客户端服务器只与站点A的域控制器通信,站点B的客户端服务器只与站点B的域控制器通信.
回到这个问题,所有客户端都需要能够与所有域控制器通信吗?或者这是否意味着我们最好创建一个具有信任关系的独立域,以提供更多的流量隔离?
提前致谢!
如果域控制器无法访问或位于您希望其他站点中的客户端不使用的站点中,则可以将域控制器配置为不注册DNS记录.这对于中心辐射配置中的辐条站点来说是典型的.
Key: HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters Value: DnsAvoidRegisterRecords Value type: REG_MULTI_SZ Value Data: LdapIpAddress Ldap DcByGuid Kdc Dc Rfc1510Kdc Rfc1510UdpKdc Rfc1510Kpwd Rfc1510UdpKpwd GC GcIpAddress GenericGc