Windows Server 2012 использует неправильный IP-адрес для репликации
Есть ли способ вручную установить, какой IP-адрес / запись DNS AD будет использоваться при репликации?
У меня есть "сеть в сети" (NWaN), которая охватывает два удаленных места - так что есть ' Если один NWaN на сайте A, то есть туннель IPsec , соединяющий его со вторым NWaN на сайте B. Адресация такая:
ServerDC1 (at Site A)
NIC1: 1.1.1.1/24 -- This is accessible from all internal networks, and can reach the internet.
NIC2: 1.2.1.1/24 -- This is a private, internal network, and can only be reached from the 1.2.1.x/24 subnet.
ServerDC2 (at Site B)
NIC1: 1.1.1.2/24 -- This is accessible from all internal networks, and can reach the internet.
NIC2: 1.2.1.2/24 -- This is a private, internal network, and can only be reached from the 1.2.1.x/24 subnet.
ServerDC1 и ServerDC2 - оба DNS-сервера, предназначенные для репликации друг к другу, но каждая из них содержит записи DNS для себя и всех клиентов, с которыми они имеют дело, в сетях 1.1.1.x / 24 и 1.2.1.x / 24.
Это создает проблему, как и всякий раз, когда я пытаюсь реплицироваться между эти два сервера пытаются общаться, используя свои немаршрутизируемые адреса 1.2.1.x, а не свой адрес 1.1.1.x.
Я могу просмотреть записи DNS на обоих серверах и удалить ссылки на 1.2.1. x связаны с этими серверами, и тогда они будут реплицироваться нормально; но я не уверен, понадобятся ли эти записи каким-либо машинам.
Итак, есть ли способ указать AD использовать только 1.1.1. x при репликации?
Я изучил разделенный DNS, но не могу позволить себе простой, который для этого потребовался бы.
Вероятно, это не то, что вы хотите услышать, но именно поэтому были изобретены брандмауэры и маршрутизаторы. Такая структура сети, по сути, является антихристом и разрушает фундаментальный строительный блок TCP / IP и, в этом отношении, Active Directory.
правильный , что нужно сделать здесь:
- Перенумеруйте один из этих сайтов в другую подсеть (скажем,
1.3.1.0/24). - Остановите множественное подключение ваших контроллеров домена. Пусть ваши контроллеры домена только находятся во внутренней сети
- Свяжите две сети через маршрутизатор. Один маршрутизатор будет иметь
1.1.1.0/24и1.2.1.0/24, а другой маршрутизатор будет иметь1.1.1.0/24и1.3.1.0/24 - Настройте сайты и службы Active Directory, чтобы соответствующим образом определить свои подсети. Инфраструктуре AD не нужно ничего знать о вашей
1.1.1.0/24сети, поскольку теперь она предназначена исключительно для транзита
Настройка в том виде, в котором она есть сейчас, вызовет у вас много-много головной боли, например:
- Аутентификация на нелокальном контроллере домена
- Контроллеры домена, регистрирующие свои IP-адреса в DNS, которые кажутся доступными из обоих мест,но на самом деле это не
- аренда DHCP, идущая в DNS, которая кажется доступной, но не
- клиенты, пытающиеся получить доступ к службам, опубликованным в AD (например, Exchange), которые кажутся доступными для связи, но не являются
- omg just no
В консоли Active Directory Sites and Services MMC вы можете указать топологию ручной репликации вместо автоматической топологии, которая создается при добавлении контроллеров домена в домен.
Откройте Диспетчер серверов> Сайты и службы Active Directory. Вы увидите свой домен в списке, а под ним находится папка с названием Inter-Site Transports и IP. Вам необходимо выполнить детализацию, но в конечном итоге вы увидите ссылки на сайты.
Если вы не видите столько ссылок на сайты, сколько ожидаете, возможно, у вас не все ваши сайты правильно настроены в этой MMC, и в этом случае вам нужно будет указать их и разрешить репликацию перед изменением ссылок.