我有一個由多個辦公室組成的集合,使用 IPsec VPN 和 MPLS 網路的各種組合進行連線。大多數網站使用 VPN 形成網狀佈置,但站點 B 僅具有到站點 A 的單一 IPsec VPN - 站點 B 無法到達任何其他站點(站點 C 和 D)。
網站 A、C 和 D 都共用一個 Active Directory 網域,例如「companya.com」。 companya.com 的網域控制站位於所有三個網站中,並且都執行 Windows Server 2012 R2。
網站 B 運行自己的 Active Directory 網域 - 例如「companyb.com」。 companyb.com 的網域控制站僅位於網站 B。
我們在AD域companya.com和companyb.com之間建立了雙向信任。這是透過在 companyb.com 的 AD DNS 伺服器中使用條件轉送器來實現的,該轉送器指向 companya.com 網站 A 上的兩個網域控制站;此外,我們在companya.com 中設定了一個存根區域,以指向companyb.com 站點B 上的兩個網域控制站。
如預期的那樣,網站A 中的兩個網域控制站都可以可靠地聯絡網站B 中的網域控制站。 - 因為我們部署了條件轉發器,有時需要DNS 查找SRV 記錄描述站點 B 中的網域控制器返回站點 C 和 D 的結果,而站點 B 根本無法訪問這兩個站點。這會導致偶發錯誤,例如“系統無法聯繫網域控制器來處理身份驗證請求。請稍後重試。”
我需要確保當companyb.com 中的網域控制站執行查找以尋找companya.com 上的網域控制站時,僅傳回網站A 中的網域控制站。
我努力了:
- 使用 companyb.com 網域控制站連接的子網路為網站 B 設定 AD 網站。但是,我認為這不起作用,因為 DNS 中沒有配置任何內容來指定網站 B 應該只提供網站 A 的結果。
- 將 companyb.com 中 DC 上的條件轉送器替換為存根區域。同樣的問題仍然存在,但情況更糟,因為存根區域導致對網站 C 和 D 中的 DNS 伺服器進行查找,而這些伺服器無法存取。
- 在companyb.com的DNS伺服器上手動新增companya.com的主要AD整合區域,並新增所有指向網站A上的網域控制站的記錄:
- companya.com 的多個 A 記錄。
- 多個 _gc._tcp.companya.com 記錄。
- 多個 _ldap._tcp.companya.com 記錄。
- 多個 _kerberos._tcp.companya.com 記錄。
我無法在站點 B、站點 C 和 D 之間建立 IPsec 隧道,也無法透過從站點 B 到站點 A 的現有隧道將流量路由到站點 C 和 D。
我懷疑Windows Server 2016 的DNS 策略功能可能會幫助解決這種情況,但我無法訪問運行Windows Server 2016 的DC。一些記錄。
任何見解將不勝感激。