The*_*Moo 3 active-directory dmz domain-controller
我希望将 2 个额外的 Windows Server 2003 域控制器与安装在常规网络中的 6 个 DC 一起部署到一个单独的机密 DMZ 中,总共有 8 个 DC。2 个机密 DC 将通过 IPSec 通过防火墙与常规网络 DC 通信。
但是,我想知道如何阻止常规网络工作站和服务器尝试向机密 DC 进行身份验证?有没有办法使用 AD 站点和服务来阻止常规网络工作站和服务器尝试与这些机密 DC 通信?
我想说的是,是否会出现问题,或者当常规网络工作站或服务器尝试使用机密 DC 进行身份验证时,这会导致问题,还是会超时并尝试另一个 DC 并继续?
您不能完全阻止客户端计算机“永远”尝试与它们通信,但是通过将它们放置到单独的 AD 站点(假设它们与“生产”DC 位于不同的子网中),您将阻止客户端计算机只要至少有一个“生产”DC 始终保持运行,就不会尝试访问它们。如果所有“生产”DC 都不可用,客户端将尝试联系另一个站点中的 DC — 可能是“机密”站点。
先发制人,以防有人在另一个答案中提出建议:尝试使用由“机密”DC 创建的 DNS 条目来玩游戏可能是个坏主意。我不怀疑有一种方法可以操纵 DC 注册的 DNS 条目以停止身份验证但仍允许复制,但我无法想象 Microsoft 会“支持”这种猴子生意。
| 归档时间: |
|
| 查看次数: |
4794 次 |
| 最近记录: |