Tengo un conjunto de varias oficinas unidas mediante varias combinaciones de VPN IPsec y una red MPLS. La mayoría de los sitios forman una disposición de malla utilizando las VPN, pero el sitio B solo tiene una única VPN IPsec para el sitio A; el sitio B no puede llegar a ninguno de los otros sitios (sitios C y D).
Los sitios A, C y D comparten un dominio de Active Directory, digamos "companya.com". Los controladores de dominio para companya.com están ubicados en los tres sitios y todos ejecutan Windows Server 2012 R2.
El sitio B ejecuta su propio dominio de Active Directory; diga "companyb.com". Los controladores de dominio para companyb.com se encuentran únicamente en el sitio B. Uno ejecuta Windows Server 2019 y el otro ejecuta Windows Server 2012 R2.
Hemos establecido una confianza bidireccional entre los dominios AD companya.com y companyb.com. Esto se logró utilizando un reenviador condicional en los servidores DNS de AD para companyb.com, apuntando a ambos controladores de dominio en el sitio A para companya.com; Además, configuramos una zona auxiliar en companya.com para apuntar a ambos controladores de dominio en el sitio B para companyb.com.
Como era de esperar, ambos controladores de dominio en el sitio A pueden comunicarse de manera confiable con un controlador de dominio en el sitio B. Sin embargo, ambos controladores de dominio en el sitio B solo pueden comunicarse de manera confiable con los controladores de dominio en el sitio A, debido a que implementamos un reenviador condicional, a veces búsquedas DNS para registros SRV. La descripción de controladores de dominio en el sitio B devuelve resultados para los sitios C y D, a los que el sitio B no puede acceder en absoluto. Esto está provocando errores esporádicos como"El sistema no puede contactar a un controlador de dominio para atender la solicitud de autenticación. Vuelva a intentarlo más tarde".
Necesito asegurarme de que cuando los controladores de dominio en companyb.com realicen búsquedas para encontrar controladores de dominio en companya.com, solo se devuelvan los controladores de dominio en el sitio A.
Yo he tratado:
- Configurar un sitio AD para el sitio B, utilizando la subred a la que están conectados los controladores de dominio companyb.com. Sin embargo, no creo que esto funcione porque no hay nada configurado en DNS para especificar que el sitio B solo debe recibir resultados para el sitio A.
- Reemplazo del reenviador condicional en los DC en companyb.com con una zona de código auxiliar. El mismo problema persistió, excepto que fue peor porque la zona de código auxiliar provocó búsquedas en servidores DNS en los sitios C y D, que son inaccesibles.
- Agregar manualmente una zona principal integrada en AD para companya.com en los servidores DNS de companyb.com y agregar registros que apunten a controladores de dominio en el sitio A:
- Múltiples registros A para companya.com.
- Múltiples registros _gc._tcp.companya.com.
- Múltiples registros _ldap._tcp.companya.com.
- Múltiples registros _kerberos._tcp.companya.com.
No puedo construir túneles IPsec entre el sitio B y los sitios C y D, ni puedo enrutar el tráfico a los sitios C y D a través del túnel existente desde el sitio B al sitio A.
Sospecho que la función de políticas DNS de Windows Server 2016 podría ayudar en esta situación, pero no tengo acceso a los controladores de dominio que ejecutan Windows Server 2016. También sospecho que es posible que haya perdido algunos registros cuando configuré manualmente una zona DNS en los servidores de companyb.com.
Cualquier idea sería apreciada.