Zacznę od stwierdzenia, że zgadzam się z wieloma innymi - przekonaj klienta inaczej lub uciekaj.
Jednak biorąc pod uwagę podane przez ciebie wymagania (jest wiele niepublicznych), mogę wymyślić (i częściowo przetestować) przynajmniej podstawy do tego, aby tak się stało.
Należy wziąć pod uwagę kilka szczególnych aspektów.
- Replikacja usług domenowych w usłudze Active Directory
- Proces lokalizatora DC klientów / serwerów członkowskich
- Rozpoznawanie nazw i ruch dla usług innych niż AD DS
Jeden i dwa mają ze sobą wiele wspólnego - generalnie jesteśmy pod tym względem kaprysem Microsoftu i musimy pracować w ramach procesów AD DS Microsoftu.
Po trzecie, mamy trochę miejsca do pracy. Możemy wybrać etykiety używane do uzyskiwania dostępu do usług (plików, instancji bazy danych itp.).
Oto, co proponuję:
Zbuduj kontrolery domeny (DC)
- Prawdopodobnie co najmniej dwa.
- Każdy DC będzie miał dwie karty sieciowe, po jednej w każdej sieci IP / witrynie AD DS - na razie nazywa je clt i srv.
- Skonfiguruj teraz tylko jedną kartę sieciową na każdym kontrolerze prądu stałego w sieci srv.
Prawidłowo skonfiguruj witryny i usługi AD
- strona srv i podsieć
- strona clt i podsieć
- odznacz „Połącz wszystkie linki do witryn” w Witrynach -> Transport między lokacjami -> Kliknij prawym przyciskiem myszy „IP”
- usuń DEFAULTIPSITELINK, jeśli istnieje (lub jeśli zmieniłeś jego nazwę), aby nie było skonfigurowanych linków do witryn. Zauważ, że jest to dla mnie nieznane - KCC prawdopodobnie zrzuci błędy do dziennika zdarzeń usługi katalogowej, mówiąc, że dwie witryny (srv i clt) nie są połączone w różnych odstępach czasu. Jednak replikacja będzie nadal kontynuowana między dwoma kontrolerami domeny, ponieważ mogą się oni kontaktować przy użyciu adresów IP w tej samej lokacji.
Skonfiguruj dodatkową strefę w zintegrowanym DNS usług AD DS
- Jeśli domeną usług AD DS jest acme.local , utwórz drugą podstawową strefę zintegrowaną AD z włączonymi aktualizacjami dynamicznymi o nazwie clt.acme.local .
Skonfiguruj drugie karty sieciowe na kontrolerze domeny
- Te karty sieciowe będą kartami sieci / witryny clt.
- Ustaw ich adresy IP
- Oto magiczna część - Właściwości adaptera -> Właściwości IPv4 -> Zaawansowane -> Karta DNS -> Ustaw sufiks DNS dla tego połączenia na clt.acme.local -> sprawdź Zarejestruj to połączenie ... -> Sprawdź Użyj tego połączenia Sufiks DNS ... -> OK przez całą drogę.
- ipconfig / registerdns
- Spowoduje to zarejestrowanie adresu IP karty clt NIC w strefie clt.acme.local - zapewniając nam metodę kontrolowania, który adres IP / sieć będzie używany później.
Skonfiguruj karty sieciowe serwera członkowskiego
- Karty sieciowe serwera członkowskiego w witrynie clt muszą mieć odpowiednio przyrostek DNS i pola wyboru, jak wyżej.
- Te ustawienia mogą być używane ze statycznymi i DHCP, nie ma znaczenia.
Skonfiguruj zachowanie resolvera DNS [stub] na stronach
- DC -> Skonfiguruj kartę sieciową DC srv NIC, aby korzystała z samego siebie i innych adresów IP karty sieciowej srv DC. Pozostaw DC Clt NIC DNS pusty (wymagany jest jednak statyczny adres IP). (Serwer DC DNS nadal domyślnie nasłuchuje na wszystkich adresach IP).
- Serwery członkowskie -> Skonfiguruj kartę członkowską srv serwera członkowskiego, aby korzystała z adresów IP witryny DC srv. Pozostaw serwer członkowski clt NIC DNS pusty (można użyć statycznego adresu IP).
- Klienci / stacje robocze -> Skonfiguruj DNS (przez DHCP lub statyczny), aby używać adresów IP karty sieciowej clt kontrolera domeny.
Skonfiguruj odpowiednio odwzorowania / zasoby
- Gdy serwery rozmawiają ze sobą, należy użyć .acme.local -> rozpoznaje adres IP sieci srv.
- Kiedy klienci rozmawiają z serwerami, pamiętaj, aby użyć pliku .clt.acme.local -> rozpoznaje adres IP sieci clt.
O czym mówię
- Replikacja usług AD DS nadal będzie występować, ponieważ kontrolery domeny mogą się wzajemnie rozwiązywać i łączyć ze sobą. Strefa acme.local i _msdcs.acme.local będzie zawierała tylko replikę AD DS NIC IP w sieci DC srv, tylko w sieci srv.
- Proces lokalizatora DC dla serwerów członkowskich i stacji roboczych będzie działał - chociaż istnieje możliwość opóźnień w różnych częściach różnych procesów AD DS, gdy witryna jest nieznana, jeśli zwróconych jest wiele adresów IP DC - zostaną one wypróbowane, zakończą się niepowodzeniem i przejdą dalej dopóki nie zadziała. Wpływ na DFS-N również nie został w pełni oceniony - ale nadal będzie działał.
- Usługi inne niż usługi AD DS będą działać poprawnie, jeśli użyjesz wyżej wymienionych etykiet .acme.local i .clt.acme.local zgodnie z opisem.
Nie przetestowałem tego całkowicie, ponieważ jest to raczej śmieszne. Jednak celem tej (wow, długiej) odpowiedzi jest rozpoczęcie oceny, czy jest to możliwe - a nie, czy należy to zrobić.
@Comments
@Massimo 1/2 Nie myl wielu witryn AD DS w strefie acme.local, a zatem rekordy SRV zapełniane przez kontrolery domeny w tych witrynach w strefie acme.local z potrzebnymi rekordami SRV w strefie clt.acme.local. Podstawowy sufiks DNS klienta (i domena Windows, do której są przyłączeni) nadal będzie acme.local. Klient / stacje robocze mają tylko jedną kartę sieciową, z sufiksem podstawowego DNS prawdopodobnie pochodzącym z DHCP, ustawionym na acme.local.
Strefa clt.acme.local nie potrzebuje rekordów SRV, ponieważ nie będzie używana w procesie lokalizatora DC. Jest używany tylko przez klientów / stacje robocze do łączenia się z usługami innych niż AD DS serwera członkowskiego przy użyciu adresów IP serwera członkowskiego w sieci clt. Procesy powiązane z usługami AD DS (lokalizator DC) nie będą używać strefy clt.acme.local, ale witryny i podsieci usług AD DS w strefie acme.local.
@Massimo 3
Będą rekordy SRV dla stron AD DS clt i srv - tylko, że będą istnieć w strefie acme.local - patrz uwaga powyżej. Strefa clt.acme.local nie potrzebuje rekordów SRV związanych z DC.
Klienci będą mogli znaleźć grzywnę DC. Klientowe serwery DNS wskazują adresy IP clt kontrolerów domeny.
Gdy proces lokalizatora DC na kliencie rozpoczyna się
- Jeśli klient zna swoją witrynę, pytaniem DNS będzie _ldap._tcp. [Site] ._ sites.dc._msdcs.acme.local SRV. Spowoduje to zwrócenie kontrolerów domeny specyficznych dla witryny, które mają zarejestrowane rekordy SRV.
- Jeśli klient nie zna swojej witryny, pytaniem DNS będzie _ldap._tcp.dc._msdcs.acme.local SRV. To zwróci wszystkie kontrolery domeny. Klient będzie próbował powiązać się z LDAP DC, dopóki nie znajdzie takiego, który odpowie. Gdy klient go znajdzie, przeprowadza wyszukiwanie witryny w celu ustalenia witryny klienta i buforuje witrynę w rejestrze, aby przyszłe instancje lokalizatora DC działały szybciej.
@Massimo 4
Ugh, niezły chwyt. Moim zdaniem istnieją dwa sposoby rozwiązania tego problemu.
- Mniejszy wpływ (w porównaniu z 2 poniżej) polega na utworzeniu wpisu w pliku hosts na klientach / stacjach roboczych dla dc1.acme.local i dc2.acme.local wskazującego na adresy IP karty sieciowej kontrolera domeny.
lub
- Ręcznie utwórz niezbędne rekordy SRV w pliku netlogon.dns na każdym kontrolerze domeny. To prawdopodobnie będzie miało pewne konsekwencje dla sieci serwerów. Serwery członkowskie mogą czasami komunikować się z kontrolerami domeny w sieci clt, jeśli jest to skonfigurowane.
Podsumowując, żadne z nich nie jest ładne, ale niekoniecznie jest to cel końcowy. Może klient właśnie testuje twoje technologiczne kotlety. Połóż to na stole konferencyjnym i powiedz im: „Tutaj to zadziała, ale naliczam opłatę 4x moją normalną stawkę, aby ją skonfigurować i obsługiwać. Możesz obniżyć ją do 1,5x mojej normalnej stawki - .5x opłaty PITA, wykonując [prawidłowe rozwiązanie]. ”
Jak wspomniano wcześniej, zalecam przekonać inaczej lub uciec. Ale z pewnością jest to zabawne, małe ćwiczenie w niedorzeczności. :)