Controladores de domínio em um NAT

3

Minha organização está no processo de configuração de uma nova rede em um provedor de hospedagem para um projeto de aplicativo muito grande. Como todo o sistema usa o Active Directory, estamos planejando usar um par de controladores de domínio que replicam para nossa sede por VPN. Esses CDs também serviriam como backup para o nosso sistema existente, de modo que poderíamos perder a conexão ou a energia inteiramente em nossa sede, e o sistema remoto poderia permanecer ativo e ainda permitir que as pessoas acessassem o sistema.

Nosso provedor de hospedagem tem a configuração 10.180.87.0/24 como nossa sub-rede para usar com eles. Mas como nossos IPs internos são 192.168.1.0/24 e eles já estão em uso, eles exigem que o NAT passe para 192.168.50.0/24. Esta parte não foi um grande problema e foi configurada com facilidade com o nosso appliance de firewall Watchguard.

O primeiro sinal de problema foi quando coloquei os dois servidores no domínio e eles não conseguiram se conectar ou encontrar o domínio. Acabei colocando um endereço pós-NAT de DOMAIN.LAN no arquivo hosts em ambos os servidores. Eles conseguiram localizar e ingressar no domínio.

Torná-los controladores de domínio, no entanto, tem sido um problema. Eles percorrem toda a configuração e, em seguida, falham com um erro quando tentam configurar toda a replicação com “o servidor RPC não está disponível”. Eu sei que o domínio está preparado corretamente, na semana passada eu fiz todo o trabalho de preparação para promover um novo servidor para o DC para substituir uma máquina antiga que passou bem.

Eu suspeito que o NAT é o problema e os servidores estão tentando se configurar com endereços pré-NAT. Nosso provedor nos quer remapear nosso esquema de IP para se adequar à sua rede e não estou exatamente entusiasmado com a ideia. Uma opção que estamos considerando é criar um servidor e uma rede em 192.168.50.0/24 e usar a replicação entre sites para ir de 10.180.87.0/24 a 192.168.50.0/24 a 192.168.1.0/24 (embora isso provavelmente seja uma bagunça na rede). config-wise para descobrir.) Mas eu não estou completamente convencido de que isso resolveria o problema. Uma DMZ é outra opção, mas é preciso investigar mais antes de tentar fazer com que nosso provedor configure isso.

Alguém já teve experiência com uma configuração ou alternativas semelhantes para obter a configuração de DC em uma conexão remota?

    
por Shial 13.03.2012 / 23:31

2 respostas

10

Você não quer fazer isso através do NAT. Você poderia construir um cenário de pesadelo onde você gerencia os registros DNS dos DCs e registra manualmente os endereços "externos" do NAT no DNS. Com o direito de encaminhamento através do NAT você provavelmente poderia fazer tudo funcionar.

Você seria mais bem atendido com uma VPN site a site para permitir que os DCs tivessem comunicação transparente e permitissem o registro de endereços atribuídos pelo NIC no DNS. IPSEC em endereços IP públicos também é uma possibilidade.

Além dos problemas de comunicação de rede, acho que você tem uma preocupação com a arquitetura de segurança.

Eu diria que você precisa de duas florestas de AD. Sua floresta AD do "back office" deve ser separada da floresta do AD que executa seu aplicativo. Você certamente pode ter uma réplica do controlador de domínio da floresta de aplicativos no local da sua sede física, mas eu aconselharia veementemente uma relação de confiança bidirecional entre as florestas. Eu certamente não gostaria que os dois domínios fizessem parte da mesma floresta AD.

    
por 13.03.2012 / 23:50
1

Eu consegui que funcionasse devido à falta de tempo, mas é um hack completo e estou trabalhando na reconstrução de toda a rede nos próximos meses para eliminar a necessidade disso. Como se constata, a pesquisa de domínio é feita através do IP do servidor, mas a replicação é procurando pelo GUID. Executando repadmin / fix / s: DC1 fornece um relatório em que você pode ver o GUID ao qual está tentando se conectar, também encontrado no DNS em Zonas de pesquisa direta, domain.loc, _msdcs.

Eu adicionei ao arquivo Hosts (c: \ windows \ system32 \ drivers \ etc \ hosts) nos novos DCs o endereço pós-NAT do servidor e o GUID e consegui fazer com que eles fossem replicados com êxito. Isto é o que eu tinha que adicionar para fazer funcionar para cada CD que estava do outro lado do NAT:

192.168.50.3   DC1.domain.loc
192.168.50.3   b48aa2d2-5b6a-8723-ab6c-239b8a76c782323a._msdcs.domain.loc

Eu REALMENTE não sugiro que ninguém tente fazer isso em um sistema de produção para qualquer coisa a longo prazo. Estou documentando isso e trabalhando na reengenharia da rede como parte de nosso plano geral para nos livrarmos disso.

    
por 22.03.2012 / 14:43