Назад | Перейти на главную страницу

мне нужно создать сайт AD для сети VPN

У меня уровень домена Windows 2008 R2. Есть четыре GC DC в четырех разных физических местах. У меня есть сеть VPN на основе Kerio для репликации и удаленного администрирования.

Вот как настроена сеть:

     dc1:
     local IP: 192.168.0.10
     VPN IP: 192.168.1.10

     dc2:
     local IP: 10.10.8.11
     VPN IP: 192.168.1.11

     dc3:
     local IP: 10.10.9.12
     VPN IP: 192.168.1.12

     dc4:
     local IP: 10.10.10.13
     VPN IP: 192.168.1.13

Это просто, репликация и все работает нормально, но при запуске dcdiag на dc3 У меня ошибка:

     A warning event occurred.  EventID: 0x000016AF
     During the past 4.12 hours there have been 216 connections to this Domain 
     Controller from client machines whose IP addresses don't map to any of the
     existing sites in the enterprise. 
     <...> 
     The log(s) may contain additional unrelated debugging information. 
     To filter out the needed information, please search for lines which contain text
     'NO_CLIENT_SITE:'. The first word after this string is the client name 
     and the second word is the client IP address.

Вот это netlogon.log пример строк:

     05/30 12:07:39 DOMAIN.NAME: NO_CLIENT_SITE: dc2 192.168.1.11
     05/31 09:52:11 DOMAIN.NAME: NO_CLIENT_SITE: dc4 192.168.1.13
     05/31 19:49:31 DOMAIN.NAME: NO_CLIENT_SITE: adm-note 192.168.1.101
     07/01 05:16:26 DOMAIN.NAME: NO_CLIENT_SITE: dc1 192.168.1.10

Все компьютеры, подключенные к VPN, генерируют ту же строку журнала, что и выше. Компьютер amd-note есть например ноутбук администратора, тоже есть VPN.

Вопрос в том, должен ли я добавить новый сайт AD и привязать подсеть VPN 192.168.1.0/24 с этого сайта?

Контроллеры домена обычно должны быть подключены только к одной сети и иметь только один адрес IPv4 и один объявленный адрес IPv6 (если вы используете IPv6, что и делают все хорошие люди). Никогда не следует размещать их в нескольких домах, поскольку это может вызвать проблемы с доступностью и запутать вещи.

Вы могли бы создать для этого отдельный сайт. Это уберет предупреждение и приблизит вас к BCP, но не полностью.

Правильнее всего будет либо маршрутизировать сеть, содержащую ваши контроллеры домена, в VPN (устраняя необходимость в дополнительных IP-адресах) и добавить подсеть VPN на ваш сайт, либо создать дополнительный контроллер домена (они поразительно недороги, как виртуальные машины). ), дайте ему IP-адрес в своей подсети VPN и добавьте его на новый сайт VPN.

Тем не менее, эти предупреждения не являются фатальными и будут совершенно несущественными, если ваша сеть не очень большая или не имеет много ссылок с высокой задержкой, а у клиентов VPN будут проблемы или ужасная производительность при подключении к DC, выбранному случайным образом.