Windows – Active Directory站点 – 设计和连接

发布时间：2020-12-13 23:45:50 所属栏目：Windows 来源：网络整理

导读：简短的问题;所有客户端是否需要能够与多站点域中的所有域控制器通信？的背景：我目前正在尝试将现有域扩展为多站点域.我已经完成了很多关于Microsoft文档的阅读,但我仍然不清楚一些要求和技术细节.一切都是Windows Server 2012 R2. 为了解释我们所获得的一

简短的问题;所有客户端是否需要能够与多站点域中的所有域控制器通信？

的背景：
我目前正在尝试将现有域扩展为多站点域.我已经完成了很多关于Microsoft文档的阅读,但我仍然不清楚一些要求和技术细节.一切都是Windows Server 2012 R2.

为了解释我们所获得的一些内容,我们有一个现有的站点,在一个单独的管理网络中有2个域控制器.然后,我们在单独的客户端网络中有大约100个客户端服务器,它们都可以访问托管域控制器的管理网络.我们称这个域为“int.company.com”.

现在我们即将在第二个位置设置客户端服务器,其中一些服务器将从现有站点运行重复的服务(将实施应用程序级DR复制),其中一些服务器将运行新服务.管理员将与现有站点的员工相同,这是一个远程数据中心站点,而不是载人站点.

从我所阅读的各种设计最佳实践来看,坚持使用单一域名似乎是最好的前进方式,因为它是相同的员工和运行相同/类似的服务.

我已经使用单个域控制器设置了第二个站点,并在AD站点和服务中创建了2个单独的站点,并为这两个站点分配了正确的管理和客户端子网.有一个站点VPN的永久站点,防火墙规则允许域控制器相互通信,并且dcdiag报告在所有3个域控制器上都很好.所有3个域控制器也运行AD集成DNS服务器.

但是,我在两个站点的客户端服务器连接都很困难.在您查找“int.company.com”时,它返回所有站点上所有域控制器的IP地址,我从“站点和服务”文档中了解到客户端服务器将始终以任何方式查找其本地域控制器,但我们还有各种应用程序和第三方服务使用ldap对“int.company.com”,这是不知道网站的.当前的站点到站点VPN不会为客户端服务器路由流量,仅为域控制器的管理网络路由流量.

理想情况下,我们设想这种方式的工作方式是,站点A的客户端服务器只与站点A的域控制器通信,站点B的客户端服务器只与站点B的域控制器通信.

回到这个问题,所有客户端都需要能够与所有域控制器通信吗？或者这是否意味着我们最好创建一个具有信任关系的独立域,以提供更多的流量隔离？

提前致谢！

是的他们这样做.如果域控制器注册其DNS记录,则任何和所有客户端都必须能够访问和使用它们.

如果域控制器无法访问或位于您希望其他站点中的客户端不使用的站点中,则可以将域控制器配置为不注册DNS记录.这对于中心辐射配置中的辐条站点来说是典型的.

https://support.microsoft.com/en-us/help/306602/how-to-optimize-the-location-of-a-domain-controller-or-global-catalog-that-resides-outside-of-a-client-s-site

Key: HKLMSYSTEMCurrentControlSetServicesNetlogonParameters  
Value: DnsAvoidRegisterRecords  
Value type:  REG_MULTI_SZ  
Value Data:

LdapIpAddress
Ldap
DcByGuid
Kdc
Dc
Rfc1510Kdc
Rfc1510UdpKdc
Rfc1510Kpwd
Rfc1510UdpKpwd
GC
GcIpAddress
GenericGc

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!