У меня есть клиент, у которого есть несколько сайтов по всему миру. У них есть 2 контроллера домена в основном месте, и каждое другое местоположение подключается к основному сайту с помощью туннеля vpn. В настоящее время сеть более или менее аварийная, поэтому я пытаюсь это исправить. Общим для вторичных сайтов является то, что их маршрутизаторы в сетевых настройках имеют локальные DNS-серверы провайдера, поэтому их компьютеры на основе DHCP получают «неправильные» DNS-серверы. Так было уже много лет, и они используют IP-адрес для подключения к серверам.
Поэтому я хотел бы исправить это с помощью правильных DNS-серверов и т. Д. Поэтому я планировал использовать RODC и DNS-сервер на единственном сервере (со службами терминалов и парой программ, таких как Visual Studio, которые люди используют для работы), который расположен в этом месте . Другой вариант заключался в том, чтобы войти в DNS-серверы из основного места, но если туннель выйдет из строя, сотрудники будут сбиты с толку и не смогут получить доступ к Интернету (поскольку им потребуется изменить настройки маршрутизатора), поэтому это не кажется надежным решением.
У меня следующие вопросы:
При использовании RODC у вас действительно есть 2 варианта DNS
Очевидно, что наличие доступной для записи основной зоны на контроллере домена только для чтения (или в этом офисе) является проблемой безопасности.
Предполагая, что у вас есть это, и вы правильно настроили кэшированные учетные данные в своей политике репликации паролей, тогда, когда сеть выйдет из строя, ваши пользователи смогут продолжить работу.
Предполагая, что у вас есть зона DNS только для чтения, которую можно использовать с контроллером домена только для чтения, это должно быть безопасно. Очевидно, что если вы кешируете учетные данные локально, существует небольшой риск, но если вы правильно используете PRP, вы сможете отозвать эти учетные данные, если что-то произойдет.