我的组织正在为一个非常大的应用程序项目在托管服务提供商处设置新网络。由于整个系统使用 Active Directory,我们计划在那里使用一对域控制器,通过 VPN 复制到我们的总部。这些 DC 还可以作为我们现有系统的备份,因此我们可能会在总部完全失去连接或电源,而远程系统可以保持运行并仍然让人们登录。
我们的托管服务提供商已将 10.180.87.0/24 设置为我们的子网以供他们使用。但是因为我们的内部 IP 是 192.168.1.0/24 并且他们已经在使用它,所以他们需要我们 NAT 到 192.168.50.0/24。这部分不是什么大问题,可以使用我们的 Watchguard 防火墙设备轻松设置。
麻烦的第一个迹象是当我将两台服务器放在域上时,它们根本无法连接或找到域。我最终将 DOMAIN.LAN 的 NAT 后地址放入两台服务器上的主机文件中。然后他们就能够找到并加入域。
然而,让它们成为域控制器一直是一个问题。当他们尝试使用“RPC 服务器不可用”设置所有复制时,他们一直通过设置,然后失败并显示错误。我知道域已正确准备,上周我做了所有准备工作以将新服务器提升到 DC,以替换一台运行良好的旧机器。
我怀疑 NAT 是问题所在,服务器正在尝试使用 NAT 前的地址进行设置。我们的提供商希望我们重新映射我们的 IP 方案以适应他们的网络,我对这个想法并不十分满意。我们正在考虑的一种选择是在 192.168.50.0/24 上创建服务器和网络,并使用站点间复制从 10.180.87.0/24 到 192.168.50.0/24 到 192.168.1.0/24(尽管这可能会造成网络混乱) config-wise 来弄清楚。)但我不完全相信这是否能解决问题。DMZ 是另一种选择,但在我尝试让我们的提供商进行设置之前,需要更多地研究它。
有没有人有过类似设置或在远程连接上设置 DC 的替代方法的经验?