私は、IPsec VPN と MPLS ネットワークのさまざまな組み合わせを使用して結合された複数のオフィスのセットを持っています。ほとんどのサイトは VPN を使用してメッシュ配置を形成しますが、サイト B にはサイト A への単一の IPsec VPN しかなく、サイト B は他のサイト (サイト C および D) にはアクセスできません。
サイト A、C、D はすべて、Active Directory ドメイン (たとえば「companya.com」) を共有しています。companya.com のドメイン コントローラーは 3 つのサイトすべてに配置されており、すべて Windows Server 2012 R2 を実行しています。
サイト B は独自の Active Directory ドメイン (「companyb.com」など) を実行します。companyb.com のドメイン コントローラーはサイト B にのみ配置されています。1 つは Windows Server 2019 を実行し、もう 1 つは Windows Server 2012 R2 を実行します。
AD ドメイン companya.com と companyb.com の間に双方向の信頼関係を確立しました。これは、companyb.com の AD DNS サーバーで条件付きフォワーダーを使用して実現され、companya.com のサイト A の両方のドメイン コントローラーを指します。さらに、companya.com にスタブ ゾーンを設定し、companyb.com のサイト B の両方のドメイン コントローラーを指します。
予想どおり、サイト A のドメイン コントローラは両方とも、サイト B のドメイン コントローラに確実に接続できます。ただし、サイト B のドメイン コントローラは両方とも、サイト A のドメイン コントローラにしか確実に接続できません。条件付きフォワーダーを展開したため、サイト B のドメイン コントローラを記述する SRV レコードの DNS ルックアップで、サイト B がまったくアクセスできないサイト C と D の結果が返されることがあります。これにより、次のような散発的なエラーが発生します。「システムはドメイン コントローラに接続できず、認証要求を処理できません。後でもう一度お試しください。」
companyb.com のドメイン コントローラーが companya.com のドメイン コントローラーを検索する際に、サイト A のドメイン コントローラーのみが返されるようにする必要があります。
私が試してみました:
- companyb.com ドメイン コントローラーが接続されているサブネットを使用して、サイト B の AD サイトを構成します。ただし、サイト B にはサイト A の結果のみが提供されるように指定する DNS 構成が何もないため、これは機能しないと思います。
- companyb.com の DC 上の条件付きフォワーダーをスタブ ゾーンに置き換えます。同じ問題が引き続き発生しましたが、スタブ ゾーンによって、到達不可能なサイト C および D の DNS サーバーに対する検索が発生したため、状況はさらに悪化しました。
- companyb.com の DNS サーバーに companya.com のプライマリ AD 統合ゾーンを手動で追加し、サイト A のドメイン コントローラーを指すレコードをすべて追加します。
- companya.com の複数の A レコード。
- 複数の _gc._tcp.companya.com レコード。
- 複数の _ldap._tcp.companya.com レコード。
- 複数の _kerberos._tcp.companya.com レコード。
サイト B とサイト C および D の間に IPsec トンネルを構築できず、サイト B からサイト A への既存のトンネル経由でサイト C および D にトラフィックをルーティングすることもできません。
Windows Server 2016 の DNS ポリシー機能がこの状況の解決に役立つのではないかと考えていますが、Windows Server 2016 を実行している DC にはアクセスできません。また、companyb.com のサーバーに DNS ゾーンを手動で設定したときに、一部のレコードを見逃した可能性もあると考えています。
ご意見をいただければ幸いです。