为课堂环境的两个不相交网络设置 AD 基础设施的提示

Question

我正在做一门涉及安全\恶意软件测试的课程，因此希望将我的实验室与他们自己的网络隔离，而无需路由到主站点。我希望能够从存在于主网络上的主 DC 设置策略、创建用户等。防火墙具有路由，使得主网络可以访问两个实验室网络，但实验室网络不能与主网络通话，除非相关建立。我不是一个大窗户的人，所以我需要一些指导。拓扑如下

我没有足够的代表来发布图片，所以请查看拓扑

我预见到以下问题：

• 实验室 DC 不能将主 DC 用作 DNS 服务器或 LDAP 服务器，因为实验室 DC 在大多数情况下无法与主要 DC 通信。各个实验室的PC可以使用各自的DC作为DNS服务器。
• 主 DC 可以将策略“推送”到其他 DC，但至于其他 DC 上方的点不能从主 DC 中提取任何内容。
• 我认为所有 FSMO 角色都需要在主 DC 上担任。
• 如果他们不能使用主 DC 作为 DNS 服务器，我怎么能 DCPromo 实验室 DC。

我想要达到的目标甚至可能实现吗？

Answer 1

• 主 DC 可以将策略“推送”到其他 DC，但至于其他 DC 上方的点不能从主 DC 中提取任何内容。

• 我认为所有 FSMO 角色都需要在主 DC 上担任。

实验室环境的目的是自给自足，不与任何非实验室环境相连。要将您的主要 DC 推送策略到实验室环境，只有将您的实验室环境连接到主 Active Directory 才有可能。但是，您不能再将其称为实验室环境。我不能肯定地告诉你你想要什么是可能的，但只是因为（在我看来）它没有遵循合理的商业信息技术管理实践（这也是一个密切的原因），所以我从未实施过这样的事情.

但既然你问这是否可能，而不是如何实际做到这一点，我会告诉你，你的计划听起来像是更糟糕的做法。所以请不要那样做。

我的建议是创建一个自给自足的实验室环境并创建一个新的实验室森林。如果您需要来自主 DC 的策略，那么最好的选择是从 GPMC 导出策略并在您的实验室环境中重新导入它们。

编辑：

[来自您下面的评论] 这不是组织中的主要 DC。这是班级中每个人都可以访问的 DC。

我从你的问题中没有理解这一点。在这种情况下，为了不破坏 AD 复制，您唯一可以做的就是在实验室中实施只读域控制器。但这只会在一定程度上起作用，因为：

如果广域网离线，而RODC在分支机构中在线，什么操作会失败？[这将反映您计划的设置；RODC 无法联系可写 DC。]

如果 RODC 无法连接到集线器中运行 Windows Server 2008 的可写域控制器，以下分支机构操作将失败：

• 密码更改

• 尝试将计算机加入域

• 电脑重命名

• 凭据未缓存在 RODC 上的帐户的身份验证尝试

• 管理员可能通过运行 gpupdate /force 命令尝试更新组策略

来源：https : //technet.microsoft.com/en-us/library/cc754956(v=ws.10).aspx