Por que o endereço IP de um Controlador de Domínio deve ser mapeado para o site que ele serve?

2

Eu tenho perguntas relacionadas a esse evento específico:

Index              : 865
EntryType          : Warning
InstanceId         : 5802
Message            : None of the IP addresses (192.168.254.17) of this Domain Controller map to the configured site 'North'.
                    While this may be a temporary situation due to IP address changes, it is generally
                    recommended that the IP address of the Domain Controller (accessible to machines in
                    its domain) maps to the Site which it services. If the above list of IP addresses is
                    stable, consider moving this server to a site (or create one if it does not already
                    exist) such that the above IP address maps to the selected site. This may require the
                    creation of a new subnet object (whose range includes the above IP address) which maps
                    to the selected site object.
Category           : (0)
CategoryNumber     : 0
ReplacementStrings : {North, 192.168.254.17}
Source             : NETLOGON
TimeGenerated      : 11/10/2018 4:45:42 PM
TimeWritten        : 11/10/2018 4:45:42 PM
UserName           :

O evento estava sendo registrado repetidamente por um controlador de domínio cujo endereço IPv4 não está associado ao site que ele atende, conforme configurado no console de Serviços e Sites do Active Directory. Eu o suprimi criando um objeto de sub-rede /32 que mapeia para o site exibido, no entanto, estou querendo saber sobre as consequências reais.

  • Por que o endereço IPv4 do controlador de domínio deve ser mapeado para o site que ele serve?
  • Por que esse teste está sendo realizado pelo Netlogon? Por que a recomendação geralmente é recomendada?
  • Além do log de eventos, como a infra-estrutura do Active Directory seria afetada por essa incompatibilidade de configuração?

Embora a infraestrutura de rede que vincula os sites consista em não mais do que alguns metros de fibras ópticas e tenha baixa latência e alta largura de banda, vários sites foram criados para estabelecer afinidades entre usuários e controladores de domínio enquanto mantém inalterados os endereços IPv4. É uma finalidade do gerenciamento de capacidade.

Em um ambiente de teste, algumas linhas do Windows PowerShell podem reproduzir o problema.

DC1:

New-NetIPAddress -IPAddress 192.168.254.16 '
    -InterfaceAlias Ethernet -AddressFamily IPv4 '
    -Type Unicast -PrefixLength 24

Set-DnsClientServerAddress -InterfaceAlias Ethernet '
    -ServerAddresses @('192.168.254.17','192.168.254.16')

Import-Module ServerManager
Install-WindowsFeature -IncludeManagementTools ("AD-Domain-Services")

Import-Module ADDSDeployment
$dsrm_password = ConvertTo-SecureString 'Pa$$w0rd' -AsPlainText -Force
Install-ADDSForest '
    -DomainName 'contoso.com' '
    -InstallDns '
    -SafeModeAdministratorPassword $dsrm_password

#--------------

New-ADReplicationSite -Name 'North'
New-ADReplicationSite -Name 'South'
Get-ADReplicationSite -Identity 'Default-First-Site-Name' | '
    Get-ADObject | Rename-ADObject -NewName 'CPD'
New-ADReplicationSubnet -Name '192.168.0.0/16' -Site 'CPD'
New-ADReplicationSubnet -Name '192.168.0.0/18' -Site 'North'
New-ADReplicationSubnet -Name '192.168.128.0/18' -Site 'South'

New-ADReplicationSiteLink -Name 'CPD-North' '
    -SitesIncluded @('CPD', 'North') '
    -InterSiteTransportProtocol IP '
    -ReplicationFrequencyInMinutes 15 '
    -OtherAttributes @{'Options'=5}

New-ADReplicationSiteLink -Name 'CPD-South' '
    -SitesIncluded @('CPD', 'South') '
    -InterSiteTransportProtocol IP '
    -ReplicationFrequencyInMinutes 15 '
    -OtherAttributes @{'Options'=5}

Get-ADReplicationSiteLink 'DEFAULTIPSITELINK' | Remove-ADReplicationSiteLink

DC2:

New-NetIPAddress -IPAddress 192.168.254.17 '
    -InterfaceAlias Ethernet -AddressFamily IPv4 '
    -Type Unicast -PrefixLength 24

Set-DnsClientServerAddress -InterfaceAlias Ethernet '
    -ServerAddresses @('192.168.254.16','192.168.254.17')

Import-Module ServerManager
Install-WindowsFeature -IncludeManagementTools ("AD-Domain-Services")

Import-Module ADDSDeployment
$dsrm_password = ConvertTo-SecureString 'Pa$$w0rd' -AsPlainText -Force

Install-ADDSDomainController '
    -InstallDns '
    -SiteName 'North' '
    -DomainName 'contoso.com' '
    -SafeModeAdministratorPassword $dsrm_password '
    -Credential (Get-Credential)

#--------------

Get-EventLog -LogName 'System' -InstanceId 5802 -Newest 1
    
por Anderson M. Gomes 12.11.2018 / 03:51

1 resposta

1

É como os clientes localizam um controlador de domínio mais próximo. Se um cliente não puder encontrar um site que mapeie para sua rede ou um controlador de domínio nesse site com uma sub-rede apropriada que corresponda ao cliente, o cliente escolherá qualquer controlador de domínio para autenticar. Se você está bem com isso, não há impacto.

    
por 13.11.2018 / 20:29