Sites do Active Directory - Design e conectividade

Navegue suas respostas
3

Pergunta curta ; todos os clientes precisam poder conversar com todos os controladores de domínio em um domínio de vários sites?

O plano de fundo: No momento, estou tentando expandir um domínio existente para ser um domínio de vários sites. Já fiz muita leitura da documentação da Microsoft, mas alguns requisitos e detalhes técnicos ainda não estão claros para mim. Tudo é o Windows Server 2012 R2.

Para explicar um pouco do que temos, temos um site existente, com dois controladores de domínio em uma rede de gerenciamento separada. Em seguida, temos cerca de 100 servidores clientes em redes de clientes separadas que acessam a rede de gerenciamento que hospeda os controladores de domínio. Vamos chamar este domínio "int.company.com".

Agora, estamos prestes a configurar servidores clientes em um segundo local, alguns desses servidores executarão duplicatas de serviços de nosso site existente (replicação de DR no nível do aplicativo será implementada) e alguns desses servidores executarão novos serviços . Os administradores serão os mesmos funcionários do site existente, este é um site de data center remoto, não um site tripulado.

Das várias práticas recomendadas de design que já li com um único domínio, parece ser o melhor caminho, pois é a mesma equipe e executa serviços idênticos / semelhantes.

Eu configurei o segundo site com um único controlador de domínio e criei dois sites separados em Sites e Serviços do AD, além de atribuir as sub-redes de gerenciamento e cliente corretas aos dois sites. Há um site permanente para VPN do site, regras de firewall para permitir que os controladores de domínio conversem entre si e o dcdiag reporta que tudo está bem em todos os 3 controladores de domínio. Todos os 3 controladores de domínio também executam servidores DNS integrados ao AD.

No entanto, estou lutando com conectividade para servidores clientes em ambos os sites. No momento em que você pesquisa "int.company.com", ele retorna os endereços IP de todos os controladores de domínio de todos os sites, eu entendo da documentação de Sites e Serviços que os servidores clientes sempre procurarão seus controladores de domínio local de qualquer maneira, mas também tem vários aplicativos e serviços de terceiros usando ldap contra "int.company.com", que não está ciente do site. A atual VPN site a site não roteia o tráfego para servidores clientes, apenas a rede de gerenciamento para os controladores de domínio.

Idealmente, a maneira como imaginamos que isso funcionaria é que os servidores clientes no site A só conversam com os controladores de domínio no site A, e os servidores clientes no site B só conversam com os controladores de domínio no site B.

Então, voltando à pergunta, todos os clientes precisam poder conversar com todos os controladores de domínio? Ou isso significa que é melhor criar um domínio separado com uma relação de confiança para fornecer mais isolamento de tráfego?

Obrigado antecipadamente!

    
por Kleborp 19.05.2017 / 09:55

3 respostas

1

Sim, eles fazem. Se os controladores de domínio registrarem seus registros DNS, todos e quaisquer clientes deverão ser capazes de alcançá-los e usá-los.

Se você tiver controladores de domínio inacessíveis ou localizados em um site que prefere que os clientes em outros sites não usem, você poderá configurar os controladores de domínio para não registrar os registros DNS. Isso é típico para sites spoke em uma configuração hub e spoke.

reside fora de um cliente-site"> 

Key: HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters  
Value: DnsAvoidRegisterRecords  
Value type:  REG_MULTI_SZ  
Value Data:

LdapIpAddress
Ldap
DcByGuid
Kdc
Dc
Rfc1510Kdc
Rfc1510UdpKdc
Rfc1510Kpwd
Rfc1510UdpKpwd
GC
GcIpAddress
GenericGc
    
por 19.05.2017 / 14:12
1

Embora eu não discorde de Greg, eu também não queria editar sua resposta com meus pensamentos sobre isso.

Leia isto: link - e - link - verifique se você está configurando os sites corretamente e os registros DNS específicos do site.

Suas pesquisas de DNS não retornarão registros DNS específicos do site somente nos registros genéricos, o que é bom. E o ping no domínio só arredonda os registros genéricos.

Se você tiver registros DNS específicos do site e os sites e sub-redes estiverem configurados corretamente, os clientes deverão usar os DCs locais apropriados primeiro.

Para seus aplicativos usando o LDAP real (suponho que você queira dizer apenas o aplicativo usando o AD através do sistema operacional), você deve definir LDAP / DCs primários e secundários para esses aplicativos, não usando o nome de domínio genérico para a configuração do LDAP.

    
por 19.05.2017 / 15:37
0

Lendo nas entrelinhas, há alguns problemas em jogo aqui:

  1. O site dos clientes de domínio está ciente? Sim, eles estão. O Processador de Localizador de Controladores de Domínio procurará um Controlador de Domínio no site mais próximo do cliente, assumindo que tudo está configurado corretamente. Este não é o núcleo da sua questão / problema.

  2. O site de aplicativos / serviços está ciente? O DFS está ciente do site, o Exchange Server reconhece o site, etc., etc., mas você tem aplicativos que não conhecem o site. Ao consultar o domínio raiz, seus aplicativos recebem uma resposta que contém todos os registros DNS de todos os controladores de domínio. O algoritmo de seleção de endereço de destino detalhado no RFC 6724 (que obsoleta RFC 3484) deve funcionar para "ordem" a lista para que o registro mais próximo para o cliente é aquele selecionado e usado pelo cliente (especificamente usando a regra 9 do endereço de destino Algoritmo de seleção). Essa é a longa maneira de dizer: quando um cliente consulta o domínio raiz e recebe uma resposta com vários registros, o cliente deve selecionar o registro mais próximo a ele. Por isso, mesmo ao consultar o domínio raiz, seus aplicativos devem acabar se comunicando com o DC em seu próprio site ou no site mais próximo.

(algumas de minhas respostas são citadas nos links abaixo).

link

link

    
por 19.05.2017 / 16:14

Tags

Monitore o coletor de lixo de um SSD Conjunto de réplica do MongoDB: O RAID 60 vale a pena para um array massivo?