У меня есть несколько офисов, объединенных с помощью различных комбинаций IPsec VPN и сети MPLS. Большинство сайтов образуют ячеистую структуру с использованием VPN, но сайт B имеет только один IPsec VPN для сайта A — сайт B не может достичь ни одного из других сайтов (сайтов C и D).
Сайты A, C и D имеют общий домен Active Directory, например, "companya.com". Контроллеры домена для companya.com находятся на всех трех сайтах и работают под управлением Windows Server 2012 R2.
Сайт B управляет собственным доменом Active Directory — скажем, «companyb.com». Контроллеры домена для companyb.com находятся исключительно на сайте B. Один работает под управлением Windows Server 2019, другой — под управлением Windows Server 2012 R2.
Мы установили двустороннее доверие между доменами AD companya.com и companyb.com. Это было достигнуто с помощью условного перенаправления на DNS-серверах AD для companyb.com, указывающего на оба контроллера домена на сайте A для companya.com; кроме того, мы настроили зону-заглушку в companya.com, указывающую на оба контроллера домена на сайте B для companyb.com.
Как и ожидалось, оба контроллера домена на сайте A могут надежно связываться с контроллером домена на сайте B. Однако оба контроллера домена на сайте B могут надежно связываться только с контроллерами домена на сайте A - поскольку мы развернули условный перенаправитель, иногда поиски DNS для записей SRV, описывающих контроллеры домена на сайте B, возвращают результаты для сайтов C и D, к которым сайт B вообще не может получить доступ. Это вызывает спорадические ошибки, такие как«Система не может связаться с контроллером домена для обслуживания запроса аутентификации. Повторите попытку позже».
Мне необходимо убедиться, что когда контроллеры домена в companyb.com выполняют поиск контроллеров домена в companya.com, возвращаются только контроллеры домена в сайте A.
Я пытался:
- Настройка сайта AD для сайта B с использованием подсети, к которой подключены контроллеры домена companyb.com. Однако я не думаю, что это работает, поскольку в DNS нет ничего настроенного, чтобы указать, что сайт B должен обслуживать только результаты для сайта A.
- Замена условного переадресатора на DC в companyb.com на зону-заглушку. Та же проблема сохранилась, только хуже, потому что зона-заглушка вызывала поиски на DNS-серверах на сайтах C и D, которые недоступны.
- Добавление вручную основной зоны, интегрированной с AD, для companya.com на DNS-серверы companyb.com и добавление записей, указывающих на контроллеры домена на сайте A:
- Несколько записей A для companya.com.
- Несколько записей _gc._tcp.companya.com.
- Несколько записей _ldap._tcp.companya.com.
- Несколько записей _kerberos._tcp.companya.com.
Я не могу построить туннели IPsec между сайтом B и сайтами C и D, а также не могу направить трафик на сайты C и D через существующий туннель из сайта B в сайт A.
Я подозреваю, что функция политик DNS Windows Server 2016 может помочь в этой ситуации, но у меня нет доступа к контроллерам домена под управлением Windows Server 2016. Я также подозреваю, что я мог пропустить некоторые записи, когда вручную настраивал зону DNS на серверах companyb.com.
Любая информация будет оценена по достоинству.