IPsec VPN과 MPLS 네트워크의 다양한 조합을 사용하여 여러 사무실을 연결했습니다. 대부분의 사이트는 VPN을 사용하여 메시 배열을 형성하지만 사이트 B에는 사이트 A에 대한 단일 IPsec VPN만 있습니다. 사이트 B는 다른 사이트(사이트 C 및 D)에 연결할 수 없습니다.
사이트 A, C, D는 모두 "companya.com"과 같은 Active Directory 도메인을 공유합니다. companya.com의 도메인 컨트롤러는 세 사이트 모두에 있으며 모두 Windows Server 2012 R2를 실행하고 있습니다.
사이트 B는 자체 Active Directory 도메인(예: "companyb.com")을 실행합니다. companyb.com의 도메인 컨트롤러는 사이트 B에만 있습니다. 하나는 Windows Server 2019를 실행하고 다른 하나는 Windows Server 2012 R2를 실행합니다.
우리는 AD 도메인 companya.com과 companyb.com 간에 양방향 신뢰를 설정했습니다. 이는 companyb.com에 대한 AD DNS 서버의 조건부 전달자를 사용하여 Companya.com에 대한 사이트 A의 두 도메인 컨트롤러를 모두 가리키는 방식으로 달성되었습니다. 또한 companyb.com의 사이트 B에 있는 두 도메인 컨트롤러를 모두 가리키도록 companya.com에 스텁 영역을 설정했습니다.
예상대로 사이트 A의 두 도메인 컨트롤러는 모두 사이트 B의 도메인 컨트롤러에 안정적으로 연결할 수 있습니다. 그러나 사이트 B의 두 도메인 컨트롤러는 모두 사이트 A의 도메인 컨트롤러에만 안정적으로 연결할 수 있습니다. 조건부 전달자를 배포했기 때문에 때로는 SRV 레코드에 대한 DNS 조회도 수행됩니다. 사이트 B의 도메인 컨트롤러가 사이트 B가 전혀 액세스할 수 없는 사이트 C와 D에 대한 결과를 반환한다고 설명합니다. 이로 인해 다음과 같은 산발적인 오류가 발생합니다."시스템이 인증 요청을 처리하기 위해 도메인 컨트롤러에 연결할 수 없습니다. 나중에 다시 시도하십시오."
companyb.com의 도메인 컨트롤러가 companya.com의 도메인 컨트롤러를 찾기 위해 조회를 수행할 때 사이트 A의 도메인 컨트롤러만 반환되는지 확인해야 합니다.
나는 시도했다:
- companyb.com 도메인 컨트롤러가 연결된 서브넷을 사용하여 사이트 B에 대한 AD 사이트를 구성합니다. 그러나 사이트 B가 사이트 A에 대한 결과만 제공되어야 함을 지정하기 위해 DNS에 구성된 것이 없기 때문에 이것이 작동하지 않는다고 생각합니다.
- companyb.com의 DC에 있는 조건부 전달자를 스텁 영역으로 교체합니다. 스텁 영역으로 인해 연결할 수 없는 사이트 C와 D의 DNS 서버에 대한 조회가 발생했기 때문에 더 심각한 문제를 제외하고는 동일한 문제가 지속되었습니다.
- companyb.com의 DNS 서버에 companya.com에 대한 기본 AD 통합 영역을 수동으로 추가하고 사이트 A의 도메인 컨트롤러를 가리키는 모든 레코드를 추가합니다.
- companya.com에 대한 여러 A 레코드.
- 여러 _gc._tcp.companya.com 레코드.
- 여러 _ldap._tcp.companya.com 레코드.
- 여러 _kerberos._tcp.companya.com 레코드.
사이트 B와 사이트 C 및 D 간에 IPsec 터널을 구축할 수 없으며 사이트 B에서 사이트 A로의 기존 터널을 통해 사이트 C 및 D로 트래픽을 라우팅할 수도 없습니다.
Windows Server 2016의 DNS 정책 기능이 이 상황에 도움이 될 수 있을 것으로 생각되지만 Windows Server 2016을 실행하는 DC에 액세스할 수 없습니다. 또한 companyb.com 서버에서 DNS 영역을 수동으로 설정할 때 일부 레코드가 누락되었을 수도 있습니다.
어떤 통찰력이라도 감사하겠습니다.