Windows Server 2012 usando endereço IP incorreto para replicação

Navegue suas respostas
1

Existe uma maneira de definir manualmente qual endereço IP / registro AD será usado ao replicar?

Eu tenho uma configuração de "rede dentro de uma rede" (NWaN) que se estende por dois locais remotos - então há um NWaN no Site A, então há um IPsec conectando-o ao segundo NWaN no Site B. O endereçamento é assim: 

ServerDC1 (at Site A)

NIC1: 1.1.1.1/24 -- This is accessible from all internal networks, and can reach the internet.

NIC2: 1.2.1.1/24 -- This is a private, internal network, and can only be reached from the 1.2.1.x/24 subnet.

ServerDC2 (at Site B)

NIC1: 1.1.1.2/24 -- This is accessible from all internal networks, and can reach the internet.

NIC2: 1.2.1.2/24 -- This is a private, internal network, and can only be reached from the 1.2.1.x/24 subnet.

ServerDC1 e ServerDC2 são ambos servidores de DNS destinados a replicar uns aos outros, mas cada um contém registros de DNS para si próprios e para todos os clientes com os quais lidam tanto na 1.1.1.x / 24 como na 1.2.1.x / 24 redes.

Isso cria um problema, pois sempre que tento replicar entre esses dois servidores, eles tentam se comunicar usando seus endereços 1.2.1.x não roteáveis em vez de seu endereço 1.1.1.x.

Eu posso passar pelos registros de DNS em ambos os servidores e excluir as referências ao 1.2.1.x associadas a esses servidores e, em seguida, eles serão replicados corretamente; mas não tenho certeza se alguma máquina precisará desses registros.

Existe uma maneira de dizer ao AD para usar somente o endereço 1.1.1.x ao replicar?

Eu examinei o DNS dividido, mas não posso permitir o tempo de inatividade que seria necessário.

    
por ProfessorJV 25.11.2015 / 18:07

2 respostas

4

Provavelmente não é isso que você quer ouvir, mas é por isso que firewalls e roteadores foram inventados. Esse tipo de projeto de rede é basicamente o anti-cristo e quebra um bloco de construção fundamental do TCP / IP e, nesse caso, do Active Directory.

A coisa correta é:

  1. Re-numere um desses sites para uma sub-rede diferente (digamos, 1.3.1.0/24 ).
  2. Pare de multi-homing seus DCs. Tenha seus CDs somente na rede interna
  3. Vincule suas duas redes por meio de um roteador. Um roteador terá 1.1.1.0/24 e 1.2.1.0/24 e o outro roteador terá 1.1.1.0/24 e 1.3.1.0/24
  4. Configure os Serviços e Sites do Active Directory para definir suas sub-redes conforme apropriado. Sua infraestrutura de AD não precisa saber nada sobre sua rede 1.1.1.0/24 , que agora é apenas para trânsito

A configuração como você faz agora causará muitas dores de cabeça, como:

  1. Autenticando em um controlador de domínio não local
  2. Controladores de domínio registrando seus IPs no DNS que parecem ser acessíveis de ambos os locais, mas na verdade não são
  3. O DHCP aluga o DNS que parece estar acessível, mas não é
  4. Clientes que tentam acessar serviços publicados no AD (por exemplo, Exchange) que parecem ser contatáveis, mas não são
  5. omg apenas não
por 25.11.2015 / 19:34
1

No MMC Serviços e Sites do Active Directory, você pode especificar uma topologia de replicação manual em vez da topologia automática que é gerada à medida que os Controladores de Domínio são adicionados ao domínio.

Abra o Gerenciador do Servidor > Sites e Serviços do Active Directory. Você verá seu domínio listado e, abaixo dele, uma pasta intitulada Transportes entre sites e IP. Você precisa se aprofundar, mas acabará vendo os links do site.

Se você não vir tantos links de sites quanto seria de esperar, talvez não tenha todos os seus sites configurados corretamente neste MMC. Nesse caso, será necessário especificá-los e permitir que eles sejam replicados antes de alterar o site. links.

    
por 25.11.2015 / 18:18

Tags

Está tudo bem (ou mesmo recomendado para desempenho) apontar o subdomínio móvel Um registro para um IP diferente? Não é possível usar funções exportadas do .bashrc em um script bash