Советы по настройке инфраструктуры AD для двух непересекающихся сетей в учебной среде
Я занимаюсь классом, который включает в себя тестирование безопасности и вредоносных программ, и поэтому хочу изолировать свои лаборатории от их собственной сети без маршрутизации на основной сайт. Я хочу иметь возможность устанавливать политики, создавать пользователей и т. Д. Из моего основного контроллера домена, который существует в основной сети. Брандмауэр имеет такую маршрутизацию, что основная сеть может получить доступ к обеим лабораторным сетям, но лабораторная сеть не может взаимодействовать с основной сетью, если не установлено взаимосвязанное. Я не любитель больших окон, поэтому мне нужно немного совета. Топология следующая
У меня недостаточно репутации для публикации изображений, поэтому просмотрите топологию
Предвижу следующие проблемы:
- Лабораторные контроллеры домена не могут использовать основной контроллер домена в качестве DNS-сервера или LDAP-сервера, поскольку лабораторные контроллеры домена по большей части не могут взаимодействовать с основным. Компьютеры в соответствующих лабораториях могут использовать свои контроллеры домена в качестве DNS-серверов.
- Главный DC может «проталкивать» политики к другим DC, но, что касается вышесказанного, другие DC не могут ничего извлекать из основного DC.
- Я предполагаю, что все роли FSMO нужно будет удерживать на главном DC.
- Как я могу использовать DCPromo для лабораторных контроллеров домена, если они не могут использовать основной контроллер домена в качестве DNS-сервера.
Возможно ли то, чего я пытаюсь достичь?
Главный DC может «проталкивать» политики к другим DC, но что касается вышеупомянутой точки, другие DC не могут ничего извлекать из главного DC.
Я предполагаю, что все роли FSMO нужно будет удерживать на главном DC.
Цель лаборатория среда состоит в том, что она является автаркичной и не связана с какими-либо нелабораторными средами. Если вы подключите свою лабораторную среду к основному Active Directory, ваши политики передачи основного контроллера домена будут доступны в лабораторной среде. Но тогда это уже нельзя было называть лабораторной средой. Я не могу сказать вам наверняка, возможно ли то, что вы хотите, но только потому, что (на мой взгляд) этого не следует разумные методы управления бизнес-информационными технологиями (что также является серьезной причиной), и поэтому я никогда не реализовывал что-то подобное.
Но поскольку вы спрашиваете, возможно ли это, а не как это сделать на самом деле, вместо закрытого голосования я скажу вам, что ваши планы выглядят как худшая практика. Так что, пожалуйста, не делай этого.
Я предлагаю создать автономную лабораторную среду и создать новый лабораторный лес. Если вам нужны политики из вашего основного контроллера домена, лучше всего экспортировать политики из консоли GPMC и повторно импортировать их в лабораторную среду.
Редактировать:
[Из вашего комментария ниже] Это не главный DC, как в орг. Это DC, доступный каждому в классе.
Я не понял этого из вашего вопроса. В этом случае единственное, что вы можете сделать, чтобы не нарушить репликацию AD, - это внедрить в свои лаборатории контроллеры домена только для чтения. Но это будет работать только в определенной степени, потому что:
Какие операции завершаются ошибкой, если глобальная сеть отключена, но контроллер домена только для чтения находится в сети в филиале? [Что отразит вашу запланированную установку; RODC не может связаться с контроллером домена с возможностью записи.]
Если RODC не может подключиться к доступному для записи контроллеру домена под управлением Windows Server 2008 в концентраторе, следующие операции филиала завершатся ошибкой:
Изменение пароля
Попытки присоединить компьютер к домену
Переименование компьютера
Попытки аутентификации для учетных записей, учетные данные которых не кэшируются на RODC
Обновления групповой политики, которые администратор может попытаться выполнить, запустив команду gpupdate / force
Источник: https://technet.microsoft.com/en-us/library/cc754956(v=ws.10).aspx