Назад | Перейти на главную страницу

Не удается заставить межсайтовую репликацию AD работать через VPN

Задний план:

Для нашей маленькой компании у нас есть однодоменная AD с одним лесом. У нас есть два географически разделенных сайта с разными подсетями. Оба сайта были добавлены как сайты с соответствующими подсетями в Active Directory Sites and Services. Дополнительные контроллеры домена в Site1 работают нормально и автоматически реплицируются с автоматически созданной топологией репликации. Все контроллеры домена - это Windows Server 2012. DNS - это интегрированный активный каталог.

Иллюстрация:

Ограничения:

Нет MPLS. Нет возможности использовать аппаратные VPN, такие как CISCO ASA и т. Д.

Что я пробовал до сих пор:

  1. Сопоставил общедоступный статический IP-адрес с DC1 используя маршрутизатор CPE моего интернет-провайдера (я не знаю, как это работает, но есть консоль, где я могу сопоставить общедоступный IP-адрес с внутренним частным IP-адресом)
  2. Нет общедоступного статического IP-адреса на Site2. Однако, когда они подключаются по телефонной линии, они получают динамический общедоступный IP-адрес (который постоянно меняется при каждом подключении к Интернету).
  3. На обоих DC1 и DC2 Я включил RRAS. Созданы адаптеры Demand-Dial.
  4. На DC2 Адаптер Demand-Dial Я предоставил публичный IP-адрес DC1и установите статический маршрут на 192.168.2.0
  5. На DC1 Адаптер Demand-Dial Я пропустил IP-адрес DC2 (поскольку у меня нет статического IP-адреса), и установите статический маршрут на 192.168.1.0

После этого соединение было успешно установлено, и я смог пинговать оба сервера с обоих концов. Я сделал адаптеры набора по требованию как "стойкий"и пинг все еще работает нормально.

Проблемы):

  1. Я не могу пинговать другие машины в Site2 из Site1 и наоборот. Я думал, что это VPN типа "сеть-сеть", и, следовательно, все машины могут подключаться к другим компьютерам на другом сайте. Я ошибся? Во всяком случае, сейчас это не мое требование. Пока оба сервера DC1 и DC2 могут видеть друг друга, это нормально для меня.
  2. На обоих DNS-серверах для каждого сервера начинают появляться несколько записей. Во-первых, фактический внутренний IP-адрес, то есть 192.168.1.x и 192.168.2.x. Во-вторых, VPN выделил IP. В-третьих, публичный динамический IP-адрес, выделенный DC2 (который постоянно меняется и, следовательно, записи складываются)! Это означает, что всякий раз, когда я пингую серверы с использованием имен, он разрешает разные IP-адреса для каждого соединения. Я действительно не знаю, проблема ли в этом?
  3. Топология AD, однако, каким-то образом захватывает серверы, но постоянно меняет ссылки. В какой-то момент в настройках NTDS DC2 отображается DC1, через некоторое время он меняется на ADC3 (другой DC в Site1), и всякий раз, когда я щелкните правой кнопкой мыши и "воспроизвести сейчас", это говорит что-то вроде"... не может реплицироваться, потому что он перемещается ..".
  4. В большинстве случаев репликация работает нормально, но только в одном направлении. Из Site1-DC1 к Site2-DC2. Никогда из Site2-DC2 к Site1-DC1. Он говорит: "Сервер RPC недоступен".

Я рвал волосы на куски, но просто не мог понять, что происходит. Во-первых, это правильный подход, который я использую для своего сценария? Если да, что я делаю не так?

Нет возможности использовать аппаратные VPN, такие как CISCO ASA и т. Д.

Зачем? Я могу купить устройства по 100 фунтов стерлингов за штуку, на которые ушло бы столько работы, что это просто смешно. У вас есть маршрутизатор, предоставленный интернет-провайдером, который «вы не знаете, как это работает», и еще один неуказанный модем на сайте 2, ваш DC2 имеет общедоступный и частный IP-адреса ... Это очень сложно.

  1. Получите статический IP-адрес на каждом сайте
  2. Установите свой собственный маршрутизатор на каждом конце
  3. Настройте IPSEC VPN типа "сеть-сеть" между маршрутизаторами.

Вот и все.

Чтобы решить № 2, удалите внутренние IP-адреса DNS из сетей для модема, VPN и пула DHCP. Если эти сетевые подключения не получают IP-адреса, они не будут регистрироваться в DNS.