Вопросы Теги

Советы по настройке инфраструктуры AD для двух непересекающихся сетей в классной среде

Я занимаюсь классом, который включает в себя тестирование безопасности и вредоносных программ, и поэтому хочу изолировать свои лаборатории от их собственной сети без маршрутизации на главный сайт. Я хочу иметь возможность устанавливать политики, создавать пользователей и т. Д. Из моего основного контроллера домена, который существует в основной сети. Брандмауэр имеет такую ​​маршрутизацию, что основная сеть может получить доступ к обеим лабораторным сетям, но лабораторная сеть не может взаимодействовать с основной сетью, если не установлено взаимосвязанное. Я' Я не любитель больших окон, поэтому мне нужно немного совета. Топология выглядит следующим образом

У меня недостаточно представителей для публикации изображений, поэтому, пожалуйста, посмотрите топологию

Topology

Я предвижу следующие проблемы:

  • Контроллеры домена лаборатории не могут использовать основной контроллер домена в качестве DNS-сервера или LDAP. сервер, поскольку лабораторные контроллеры домена по большей части не могут разговаривать с основным. Компьютеры в соответствующих лабораториях могут использовать свои соответствующие контроллеры домена в качестве DNS-серверов.
  • Главный контроллер домена может «проталкивать» политики на другие контроллеры домена, но, что касается пункта выше, другие контроллеры домена не могут получать ничего от основного контроллера домена.
  • ] Я предполагаю, что все роли FSMO необходимо будет удерживать на главном контроллере домена.
  • Как я могу даже использовать DCPromo для лабораторных контроллеров домена, если они не могут использовать основной контроллер домена в качестве DNS-сервера.

Это то, что я ' м пытаюсь достичь даже возможного?

2
задан 21 December 2016 в 10:27
1 ответ

  • Главный контроллер домена может «проталкивать» политики на другие контроллеры домена, но что касается пункта выше, другие контроллеры домена не могут тянуть что-либо из главного контроллера домена.

  • Я предполагаю, что все роли FSMO должны будут выполняться на главном контроллере домена.

Цель среды lab состоит в том, чтобы она была автаркичной и не подключена ни к какому не -лаборатория среды. Если вы подключите свою лабораторную среду к основному Active Directory, то наличие политик передачи вашего основного контроллера домена в лабораторную среду станет возможным.Но тогда это уже нельзя было называть лабораторной средой. Я не могу сказать вам наверняка, возможно ли то, что вы хотите, но только потому, что (на мой взгляд) это не соответствует разумным методам управления бизнес-информационными технологиями (что также является серьезной причиной), и поэтому Я никогда не реализовывал что-то подобное.

Но поскольку вы спрашиваете, возможно ли это, а не как это сделать на самом деле, вместо закрытого голосования я скажу вам, что ваши планы выглядят как худшая практика. Так что, пожалуйста, не делайте этого.

Я предлагаю создать автономную лабораторную среду и создать новый лабораторный лес. Если вам нужны политики с главного контроллера домена, лучше всего экспортировать политики из консоли GPMC и повторно импортировать их в лабораторную среду.

Изменить:

[ Из вашего комментария ниже ] Это не главный DC, как в организационном. Это DC, доступный каждому в классе.

Я не понял этого из вашего вопроса. В этом случае единственное, что вы можете сделать, чтобы не нарушить репликацию AD, - это реализовать в своих лабораториях контроллеры домена только для чтения. Но это будет работать только в некоторой степени, потому что:

Какие операции завершаются неудачно, если глобальная сеть отключена, но контроллер домена только для чтения находится в сети в филиале? [Что отразит вашу запланированную настройку; Контроллер домена только для чтения не может связаться с контроллером домена с возможностью записи.]

Если контроллер домена только для чтения не может подключиться к контроллеру домена с возможностью записи, работающему под управлением Windows Server 2008 в концентраторе, следующие операции филиала завершатся ошибкой:

  • Изменение пароля
  • Попытки присоединиться к компьютеру к домен
  • Переименование компьютера

  • Попытки аутентификации для учетных записей, учетные данные которых не кэшированы на RODC

  • . Обновления групповой политики, которые администратор может попытаться выполнить с помощью команды gpupdate / force

Источник: https: //technet.microsoft.com/en-us/library/cc754956(v=ws.10).aspx[12107 impression

5
ответ дан 3 December 2019 в 09:32

Теги

Похожие вопросы