Lassen Sie mich zunächst sagen, dass ich vielen anderen zustimme - entweder den Kunden anderweitig überzeugen oder ausführen.
Angesichts Ihrer aufgeführten Anforderungen (es gibt viele nicht aufgeführte) kann ich mir jedoch zumindest die Grundlagen dafür vorstellen (und diese teilweise testen), um dies zu erreichen.
Es gibt mehrere spezifische Aspekte, die berücksichtigt werden müssen.
- Replikation von Active Directory-Domänendiensten
- DC Locator-Prozess von Clients / Mitgliedsservern
- Namensauflösung und Datenverkehr für Nicht-AD-DS-Dienste
Eins und zwei haben viel gemeinsam - im Allgemeinen sind wir in dieser Hinsicht auf die Laune von Microsoft und müssen im Rahmen der AD DS-Prozesse von Microsoft arbeiten.
Nummer drei, mit dem wir ein bisschen arbeiten können. Wir können die Bezeichnungen auswählen, die für den Zugriff auf Dienste verwendet werden (Dateien, Datenbankinstanzen usw.).
Folgendes schlage ich vor:
Erstellen Sie Ihre Domänencontroller (DC)
- Wahrscheinlich mindestens zwei.
- Jeder DC verfügt über zwei Netzwerkkarten, eine in jedem IP-Netzwerk / AD DS-Standort, die vorerst als clt und srv bezeichnet werden.
- Nur so konfigurieren , ein NIC jetzt in jedem DC in den SRV - Netzwerk.
Konfigurieren Sie AD-Sites und -Dienste ordnungsgemäß
- srv site und subnetz
- CLT-Site und Subnetz
- Deaktivieren Sie "Alle Site-Links überbrücken " unter "Sites -> Transporte zwischen Standorten -> Klicken Sie mit der rechten Maustaste auf" IP ".
- Löschen Sie den DEFAULTIPSITELINK, wenn er vorhanden ist (oder wenn Sie ihn umbenannt haben), sodass keine Site-Links konfiguriert sind. Beachten Sie, dass dies für mich unbekannt ist. KCC wird wahrscheinlich Fehler in das Verzeichnisdienst-Ereignisprotokoll speichern, die besagen, dass die beiden Standorte (srv und clt) nicht in unterschiedlichen Intervallen verbunden sind. Die Replikation zwischen den beiden Domänencontrollern wird jedoch fortgesetzt, da sie sich über die IP-Adressen am selben Standort gegenseitig kontaktieren können.
Konfigurieren Sie eine zusätzliche Zone in AD DS Integrated DNS
- Wenn Ihre AD DS-Domäne acme.local ist , erstellen Sie eine zweite integrierte primäre AD-Zone mit aktivierten dynamischen Updates mit dem Namen clt.acme.local .
Konfigurieren Sie die zweiten Netzwerkkarten auf Ihren Domänencontrollern
- Diese Netzwerkkarten sind die Netzwerkkarten im CLT-Netzwerk / Standort.
- Stellen Sie ihre IPs ein
- Hier ist der magische Teil - Adaptereigenschaften -> IPv4-Eigenschaften -> Erweitert -> Registerkarte DNS -> Setzen Sie das DNS-Suffix für diese Verbindung auf clt.acme.local -> aktivieren Sie Diese Verbindung registrieren ... -> Aktivieren Sie diese Verbindung verwenden DNS-Suffix ... -> OK bis zum Ende.
- ipconfig / registerdns
- Dadurch wird die Clt-NIC-IP in der Zone clt.acme.local registriert. Auf diese Weise können wir steuern, welche IP / welches Netzwerk später verwendet wird.
Konfigurieren Sie die NICs der Mitgliedsserver
- Für NICs von Mitgliedsservern auf der CLT-Site müssen das DNS-Suffix und die Kontrollkästchen entsprechend wie oben festgelegt sein.
- Diese Einstellungen können mit statischen und DHCP verwendet werden, spielt keine Rolle.
Konfigurieren Sie das DNS [Stub] Resolver-Verhalten auf den Sites
- DCs -> Konfigurieren Sie die DC-srv-Netzwerkkarte so, dass sie sich selbst und andere IP-srv-Netzwerkkarten-IPs verwendet. Lassen Sie DC clt NIC DNS leer (statische IP ist jedoch erforderlich). (Der DC-DNS-Server überwacht standardmäßig weiterhin alle IP-Adressen.)
- Mitgliedsserver -> Konfigurieren Sie die srv-Netzwerkkarte des Mitgliedsservers für die Verwendung der IP-Adressen der DC-srv-Site. Lassen Sie den Mitgliedsserver clt NIC DNS leer (statische IP kann verwendet werden).
- Clients / Workstations -> Konfigurieren Sie DNS (entweder über DHCP oder statisch) für die Verwendung der Clt-NIC-IPs des DC.
Konfigurieren Sie Zuordnungen / Ressourcen entsprechend
- Wenn Server miteinander kommunizieren, stellen Sie sicher, dass Sie .acme.local verwenden -> wird in srv-Netzwerk-IP aufgelöst.
- Wenn Clients mit Servern sprechen, stellen Sie sicher, dass Sie .clt.acme.local verwenden -> wird in clt network IP aufgelöst.
Worüber rede ich?
- Die AD DS-Replikation wird weiterhin durchgeführt, da sich DCs gegenseitig auflösen und eine Verbindung herstellen können. Die Bereiche acme.local und _msdcs.acme.local enthalten nur die AD DS-Replikation der DC-srv-Netzwerkkarte. Die AD DS-Replikation findet nur im srv-Netzwerk statt.
- Der DC-Locator-Prozess für Mitgliedsserver und Workstations funktioniert - obwohl die Möglichkeit von Verzögerungen an verschiedenen Stellen verschiedener AD DS-Prozesse besteht, wenn der Standort unbekannt ist, wenn mehrere DC-IPs zurückgegeben werden -, werden sie versucht, schlagen fehl und gehen weiter bis man arbeitet. Die Auswirkungen auf DFS-N wurden ebenfalls nicht vollständig evaluiert - werden aber weiterhin funktionieren.
- Nicht-AD DS-Dienste funktionieren einwandfrei, wenn Sie die oben genannten Bezeichnungen .acme.local und .clt.acme.local wie beschrieben verwenden.
Ich habe dies nicht vollständig getestet, da es ziemlich lächerlich ist. Der Sinn dieser (wow, langwierigen) Antwort besteht jedoch darin, zu bewerten, ob dies möglich ist oder nicht - nicht, ob dies getan werden sollte.
@Bemerkungen
@Massimo 1/2 Verwechseln Sie nicht mehrere AD DS-Sites in der acme.local-Zone und damit SRV-Datensätze, die von DCs an diesen Sites in der acme.local-Zone gefüllt werden, mit der Notwendigkeit von SRV-Datensätzen in der clt.acme.local-Zone. Das primäre DNS-Suffix des Clients (und die Windows-Domäne, zu der er gehört) ist weiterhin acme.local. Der Client / die Workstations haben nur eine einzige Netzwerkkarte, deren primäres DNS-Suffix wahrscheinlich von DHCP abgeleitet ist und auf acme.local festgelegt ist.
Die Zone clt.acme.local benötigt keine SRV-Datensätze, da sie nicht im DC-Locator-Prozess verwendet wird. Es wird nur von Clients / Workstations verwendet, um mithilfe der IP-Adressen des Mitgliedsservers im CLT-Netzwerk eine Verbindung zu den Nicht-AD-DS-Diensten des Mitgliedsservers herzustellen. AD DS-bezogene Prozesse (DC-Locator) verwenden nicht die Zone clt.acme.local, sondern die AD DS-Sites (und Subnetze) in der Zone acme.local.
@Massimo 3
Es wird SRV-Datensätze sowohl für clt- als auch für srv-AD-DS-Sites geben - nur dass sie in der acme.local-Zone vorhanden sind - siehe Hinweis oben. Die Zone clt.acme.local benötigt keine DC-bezogenen SRV-Datensätze.
Kunden können eine DC-Geldstrafe finden. Client-DNS-Server verweisen auf die CLT-IPs der DCs.
Wenn der DC-Locator-Prozess auf dem Client gestartet wird
- Wenn der Client seine Site kennt, lautet die DNS-Frage _ldap._tcp. [Site] ._ sites.dc._msdcs.acme.local SRV. Dadurch werden die standortspezifischen Domänencontroller zurückgegeben, für die SRV-Einträge registriert sind.
- Wenn der Client seine Site nicht kennt, lautet die DNS-Frage _ldap._tcp.dc._msdcs.acme.local SRV. Dadurch werden alle DCs zurückgegeben. Der Client versucht, eine Verbindung zum LDAP von DC herzustellen, bis er eine Antwort findet. Wenn der Client einen findet, führt er eine Standortsuche durch, um den Standort des Clients zu ermitteln, und speichert den Standort in der Registrierung zwischen, damit zukünftige DC-Locator-Instanzen schneller ausgeführt werden können.
@Massimo 4
Ugh, schöner Fang. So wie ich es sehe, gibt es zwei Möglichkeiten, um dieses Problem zu umgehen.
- Die geringere Auswirkung (im Vergleich zu 2 unten) besteht darin, einen Eintrag in der Hosts-Datei auf den Clients / Workstations für dc1.acme.local und dc2.acme.local zu erstellen, der auf die Clt-NIC-IPs der DCs verweist.
oder
- Erstellen Sie die erforderlichen SRV-Datensätze manuell in der Datei netlogon.dns auf jedem der Domänencontroller. Dies hat wahrscheinlich einige Konsequenzen für das Servernetzwerk. Mitgliedsserver können manchmal mit den Domänencontrollern im CLT-Netzwerk kommunizieren, wenn dies konfiguriert ist.
Alles in allem ist nichts davon hübsch, aber das ist nicht unbedingt das Endziel. Vielleicht testet der Kunde nur Ihre technischen Fähigkeiten. Stellen Sie es auf den Konferenztisch und sagen Sie ihnen: "Hier wird dies funktionieren, aber ich berechne Ihnen das 4-fache meines normalen Tarifs, um es zu konfigurieren und zu unterstützen. Sie können es auf das 1,5-fache meines normalen Tarifs reduzieren - 0,5-fache PITA-Gebühr, indem Sie dies tun." [richtige Lösung]. "
Wie bereits erwähnt, empfehle ich, anders zu überzeugen oder zu rennen. Aber es ist sicher eine lustige kleine Übung in lächerlich. :) :)