Tôi có một nhóm nhiều văn phòng đã tham gia bằng cách sử dụng các kết hợp khác nhau của VPN IPsec và mạng MPLS. Phần lớn các trang web tạo thành một sắp xếp lưới bằng cách sử dụng VPN, nhưng trang B chỉ có một IPsec VPN duy nhất đến trang A - trang B không thể truy cập bất kỳ trang nào khác (trang C và D).
Các trang A, C và D đều dùng chung một miền Active Directory, chẳng hạn như "companya.com". Bộ điều khiển miền cho companya.com được đặt ở cả ba trang web và đều đang chạy Windows Server 2012 R2.
Trang web B chạy tên miền Active Directory của riêng nó - giả sử "companyb.com". Bộ điều khiển miền cho companyb.com chỉ được đặt ở trang B. Một bộ chạy Windows Server 2019, bộ kia chạy Windows Server 2012 R2.
Chúng tôi đã thiết lập niềm tin hai chiều giữa các miền AD companya.com và companyb.com. Điều này đạt được bằng cách sử dụng trình chuyển tiếp có điều kiện trong máy chủ AD DNS cho companyb.com, trỏ tới cả hai bộ điều khiển miền trên trang A cho companya.com; Ngoài ra, chúng tôi đã thiết lập một vùng sơ khai trong companya.com để trỏ đến cả hai bộ điều khiển miền trên trang B cho companyb.com.
Như mong đợi, cả hai bộ điều khiển miền trong trang A đều có thể liên hệ một cách đáng tin cậy với một bộ điều khiển miền trong trang B. Tuy nhiên, cả hai bộ điều khiển miền trong trang B chỉ có thể liên hệ một cách đáng tin cậy với các bộ điều khiển miền trong trang A - bởi vì chúng tôi đã triển khai một trình chuyển tiếp có điều kiện, đôi khi tra cứu DNS cho các bản ghi SRV mô tả bộ điều khiển miền trong trang B trả về kết quả cho trang C và D, trang B hoàn toàn không thể truy cập. Điều này gây ra các lỗi lẻ tẻ như "Hệ thống không thể liên hệ với bộ điều khiển miền để phục vụ yêu cầu xác thực. Vui lòng thử lại sau."
Tôi cần đảm bảo rằng khi các bộ điều khiển miền trong companyb.com thực hiện tra cứu để tìm các bộ điều khiển miền trên companya.com, thì chỉ các bộ điều khiển miền trong trang A mới được trả về.
Tôi đã thử:
- Định cấu hình Trang web AD cho trang web B, sử dụng mạng con mà bộ điều khiển miền companyb.com được kết nối. Tuy nhiên, tôi không nghĩ rằng điều này hoạt động vì không có gì được định cấu hình trong DNS để chỉ định rằng trang B chỉ nên được cung cấp kết quả cho trang A.
- Thay thế trình chuyển tiếp có điều kiện trên các DC trong companyb.com bằng một vùng sơ khai. Vấn đề tương tự vẫn tiếp diễn, ngoại trừ vấn đề tồi tệ hơn là do vùng sơ khai đã gây ra các tra cứu đối với máy chủ DNS ở các trang C và D, không thể truy cập được.
- Thêm thủ công vùng tích hợp AD chính cho companya.com trên máy chủ DNS của companyb.com và thêm các bản ghi, tất cả đều trỏ đến bộ điều khiển miền trên trang A:
- Nhiều bản ghi A cho companya.com.
- Nhiều bản ghi _gc._tcp.companya.com.
- Nhiều bản ghi _ldap._tcp.companya.com.
- Nhiều bản ghi _kerberos._tcp.companya.com.
Tôi không thể xây dựng các đường hầm IPsec giữa trang B và các trang C và D, tôi cũng không thể định tuyến lưu lượng truy cập đến các trang C và D qua đường hầm hiện có từ trang B đến trang A.
Tôi nghi ngờ rằng tính năng chính sách DNS của Windows Server 2016 có thể giúp giải quyết tình huống này nhưng tôi không có quyền truy cập vào các DC chạy Windows Server 2016. Tôi cũng nghi ngờ rằng mình có thể đã bỏ sót một số bản ghi khi thiết lập vùng DNS theo cách thủ công trên các máy chủ của companyb.com.
Bất kỳ cái nhìn sâu sắc sẽ được đánh giá cao.
