Shi*_*ial 3 windows-server-2008 active-directory nat
我的组织正在为一个非常大的应用程序项目在托管服务提供商处设置新网络。由于整个系统使用 Active Directory,我们计划在那里使用一对域控制器,通过 VPN 复制到我们的总部。这些 DC 还可以作为我们现有系统的备份,因此我们可能会在总部完全失去连接或电源,而远程系统可以保持运行并仍然让人们登录。
我们的托管服务提供商已将 10.180.87.0/24 设置为我们的子网以供他们使用。但是因为我们的内部 IP 是 192.168.1.0/24 并且他们已经在使用它,所以他们需要我们 NAT 到 192.168.50.0/24。这部分不是什么大问题,可以使用我们的 Watchguard 防火墙设备轻松设置。
麻烦的第一个迹象是当我将两台服务器放在域上时,它们根本无法连接或找到域。我最终将 DOMAIN.LAN 的 NAT 后地址放入两台服务器上的主机文件中。然后他们就能够找到并加入域。
然而,让它们成为域控制器一直是一个问题。当他们尝试使用“RPC 服务器不可用”设置所有复制时,他们一直通过设置,然后失败并显示错误。我知道域已正确准备,上周我做了所有准备工作以将新服务器提升到 DC,以替换一台运行良好的旧机器。
我怀疑 NAT 是问题所在,服务器正在尝试使用 NAT 前的地址进行设置。我们的提供商希望我们重新映射我们的 IP 方案以适应他们的网络,我对这个想法并不十分满意。我们正在考虑的一种选择是在 192.168.50.0/24 上创建服务器和网络,并使用站点间复制从 10.180.87.0/24 到 192.168.50.0/24 到 192.168.1.0/24(尽管这可能会造成网络混乱) config-wise 来弄清楚。)但我不完全相信这是否能解决问题。DMZ 是另一种选择,但在我尝试让我们的提供商进行设置之前,需要更多地研究它。
有没有人有过类似设置或在远程连接上设置 DC 的替代方法的经验?
Eva*_*son 10
您不想通过 NAT 执行此操作。您可以构建一个噩梦般的场景,您可以在其中管理 DC 的 DNS 记录并在 DNS 中手动注册 NAT“外部”地址。使用通过 NAT 的正确端口转发,您可能可以使其全部工作。
您最好使用站点到站点 VPN,以允许 DC 进行透明通信并允许它们在 DNS 中注册其 NIC 分配的地址。公共 IP 地址上的 IPSEC 也是一种可能。
但是,除了网络通信问题之外,我认为您还有安全架构方面的问题。
我认为您需要两个 AD 森林。您的“后台”AD 林应该真正与运行您的应用程序的 AD 林分开。您当然可以在您的物理总部位置拥有来自应用程序林的副本 DC,但我强烈建议不要在林之间建立双向信任。我当然不希望两个域都属于同一个 AD 林。
| 归档时间: |
|
| 查看次数: |
6283 次 |
| 最近记录: |