Tenho vários escritórios unidos usando várias combinações de VPNs IPsec e uma rede MPLS. A maioria dos sites forma um arranjo mesh usando VPNs, mas o site B possui apenas uma única VPN IPsec para o site A - o site B não pode acessar nenhum dos outros sites (sites C e D).
Os sites A, C e D compartilham um domínio do Active Directory, digamos "companya.com". Os controladores de domínio para companya.com estão localizados em todos os três sites e todos executam o Windows Server 2012 R2.
O site B executa seu próprio domínio do Active Directory - digamos "companyb.com". Os controladores de domínio para companyb.com estão localizados exclusivamente no site B. Um executa o Windows Server 2019, o outro executa o Windows Server 2012 R2.
Estabelecemos uma confiança bidirecional entre os domínios AD companya.com e companyb.com. Isso foi conseguido usando um encaminhador condicional nos servidores AD DNS para companyb.com, apontando para ambos os controladores de domínio no site A para companya.com; além disso, configuramos uma zona de stub em companya.com para apontar para ambos os controladores de domínio no site B de companyb.com.
Como esperado, ambos os controladores de domínio no site A podem contatar de forma confiável um controlador de domínio no site B. No entanto, ambos os controladores de domínio no site B só podem entrar em contato de forma confiável com controladores de domínio no site A - porque implantamos um encaminhador condicional, às vezes pesquisas de DNS para registros SRV descrever controladores de domínio no site B retorna resultados para os sites C e D, aos quais o site B não pode acessar. Isso está causando erros esporádicos, como"O sistema não pode entrar em contato com um controlador de domínio para atender à solicitação de autenticação. Tente novamente mais tarde."
Preciso garantir que, quando os controladores de domínio em companyb.com realizarem pesquisas para localizar controladores de domínio em companya.com, apenas os controladores de domínio no site A sejam retornados.
Eu tentei:
- Configurando um site AD para o site B, usando a sub-rede à qual os controladores de domínio companyb.com estão conectados. No entanto, não acho que isso funcione porque não há nada configurado no DNS para especificar que o site B só deve receber resultados do site A.
- Substituindo o encaminhador condicional em DCs em companyb.com por uma zona de stub. O mesmo problema persistiu, só que pior porque a zona de stub causou pesquisas nos servidores DNS nos sites C e D, que são inacessíveis.
- Adicionar manualmente uma zona primária integrada ao AD para companya.com nos servidores DNS de companyb.com e adicionar registros, todos apontando para controladores de domínio no site A:
- Vários registros A para companya.com.
- Vários registros _gc._tcp.companya.com.
- Vários registros _ldap._tcp.companya.com.
- Vários registros _kerberos._tcp.companya.com.
Não consigo construir túneis IPsec entre o site B e os sites C e D, nem rotear o tráfego para os sites C e D através do túnel existente do site B para o site A.
Suspeito que o recurso de políticas DNS do Windows Server 2016 possa ajudar nessa situação, mas não tenho acesso a DCs que executam o Windows Server 2016. Também suspeito que posso ter perdido alguns registros ao configurar manualmente uma zona DNS nos servidores da empresab.com.
Qualquer visão seria apreciada.