我希望将 2 个额外的 Windows Server 2003 域控制器与安装在常规网络中的 6 个 DC 一起部署到一个单独的机密 DMZ 中,总共有 8 个 DC。2 个机密 DC 将通过 IPSec 通过防火墙与常规网络 DC 通信。
但是,我想知道如何阻止常规网络工作站和服务器尝试向机密 DC 进行身份验证?有没有办法使用 AD 站点和服务来阻止常规网络工作站和服务器尝试与这些机密 DC 通信?
我想说的是,是否会出现问题,或者当常规网络工作站或服务器尝试使用机密 DC 进行身份验证时,这会导致问题还是超时并尝试另一个 DC 并继续?
您不能完全阻止客户端计算机“永远”尝试与它们通信,但通过将它们放置到单独的 AD 站点(假设它们与“生产”DC 位于不同的子网中),您将阻止客户端计算机只要至少有一个“生产” DC 始终处于运行状态,就不会尝试访问它们。如果所有“生产”DC 都不可用,客户端将尝试联系另一个站点(可能是“机密”站点)中的 DC。
先发制人,以防有人在另一个答案中提出建议:尝试使用“机密” DC 创建的 DNS 条目玩游戏可能是个坏主意。我不怀疑有一种方法可以操纵 DC 注册的 DNS 条目以停止身份验证但仍允许复制,但我无法想象微软会“支持”这种猴子业务。
更好的答案是(如果可能的话)使用 ADAM(现在称为 AD LDS)而不是在 DMZ 中放置真正的 DC。如果不是,我肯定会设置域隔离
我们正在我们的 DMZ 中为 Web 服务部署一个 Windows Server 2008 只读域控制器。以前我们使用具有本地帐户的 2003 服务器,但这是管理方面的噩梦。我们将按照本指南使用 DMZ 中的新林并创建单向信任,以便我们的内部用户可以使用他们现有的帐户进行身份验证。