Não é possível obter a replicação entre sites do AD para funcionar sobre VPN

1

Plano de fundo :

Temos um AD de domínio único de floresta única para nossa pequena empresa. Temos dois sites separados geograficamente com sub-redes diferentes. Ambos os sites foram adicionados como sites com sub-redes apropriadas nos Sites e Serviços do Active Directory. Os controladores de domínio adicionais no Site1 estão funcionando bem e são replicados automaticamente com a topologia de replicação gerada automaticamente. Todos os controladores de domínio são o Windows Server 2012. O DNS é um diretório ativo integrado.

Ilustração :

Restrições:

NãoháMPLS.NãoháopçãoparaVPNbaseadaemhardwarecomoCISCOASA,etc.

Oquetenteiatéagora:

  1. MapeouumIPestáticopúblicoparaDC1usandooroteadorCPEdomeuISP(nãoseicomoissofunciona,masháumconsoleondepossomapearumIPpúblicoparaumIPprivadointerno)
  2. NãoháIPestáticopúblicoemSite2.Noentanto,àmedidaqueseconectamusandodiscagem,elesobtêmumIPpúblicodinâmico(quemudasemprequeseconectamàInternet)
  3. EmDC1eemDC2,habiliteioRRAS.Criadoadaptadoresdediscagempordemanda.
  4. NoadaptadordediscagempordemandaDC2,fornecioIPpúblicodeDC1edefiniarotaestáticapara192.168.2.0
  5. EmDC1Adaptadordediscagempordemanda,omitioIPdeDC2(porquenãotenhoumIPestático)edefiniarotaestáticapara192.168.1.0

Depoisdisso,aconexãofoifeitacomsucessoeeupudefazerpingnosdoisservidoresdeambasasextremidades.Eufizosadaptadoresdediscagempordemandacomo" persistentes " e o ping ainda está funcionando bem.

Problema (s) :

  1. Eu não consigo pingar outras máquinas em Site2 em Site1 e vice-versa. Eu estava pensando que era uma VPN site-to-site e, portanto, todas as máquinas poderiam alcançar outras no outro site. Estou errado? De qualquer forma, essa não é a minha exigência a partir de agora. Desde que ambos os servidores DC1 e DC2 consigam se ver, tudo bem para mim.
  2. Várias entradas começam a aparecer nos dois servidores DNS para cada servidor. Um, o IP interno real, isto é, 192.168.1.xe 192.168.2.x. Em segundo lugar, o VPN alocou o IP. Terceiro, o IP dinâmico público alocado para DC2 (que continua mudando toda vez e, portanto, as entradas se somam)! Isso significa que sempre que eu pingar servidores usando nomes, ele será resolvido para um IP diferente em cada conexão. Eu realmente não sei se isso é um problema?
  3. A topologia do AD, porém, de alguma forma, pega os servidores, mas continua mudando os links. Um momento, as configurações de NTDS do DC2 mostram DC1, depois de algum tempo ele muda para ADC3 (outro DC em Site1) e sempre que eu clico com o botão direito em e em replico agora , ele diz algo como " ... não pode replicar porque está sendo movido ... ".
  4. Na maioria das vezes, a replicação funciona bem, mas apenas de uma direção. De Site1-DC1 para Site2-DC2 . Nunca de Site2-DC2 para Site1-DC1 . Ele diz: " servidor RPC não disponível ".

Eu tenho rasgado meu cabelo, mas não consigo entender o que está acontecendo. Em primeiro lugar, esta é a abordagem certa que estou tomando para o meu cenário? Se sim, o que estou fazendo errado?

    
por Abhitalks 19.03.2014 / 18:53

2 respostas

1

Para resolver # 2, remova os endereços IP do DNS interno das redes para o pool de modem, VPN e DHCP. Se essas conexões de rede não obtiverem IPs, elas não se registrarão no DNS.

    
por 19.03.2014 / 19:25
1

There is no option for hardware-based VPN like CISCO ASA etc.

Por quê? Eu posso obter dispositivos por £ 100 cada um que tiraria tanto do trabalho que isso é ridículo. Você tem um roteador fornecido pelo ISP que "você não sabe como isso funciona" e outro modem não especificado no Site 2, o seu DC2 tem um IP público e privado ... É muito complicado demais.

  1. Obter IP estático em cada site
  2. Instale seu próprio roteador em cada extremidade
  3. Configurar VPN IPSEC site a site entre os roteadores

É isso.

    
por 20.03.2014 / 10:49