主办公室:克利夫兰 - 192.168.1.0/24 - 高速以太网连接到卫星办公室,有两个 DC。到 DR 站点的低速 WAN 连接。
DR 站点:Akron - 192.168.2.0/24 - 到主办公室和卫星办公室的低速 WAN 连接,并有两个 DC。AD 复制仅限于下班时间。
卫星办公室:Canton - 192.168.3.0/24 - 与总部的高速以太网连接 - 没有 DC。到 DR 站点的低速 WAN 连接。
现在,如果我为每个具有 DC 的位置创建一个站点,并且仅将这些子网与这些站点相关联,那么默认情况下,卫星办公室中的客户端将尝试建立亲缘关系并向 DR 站点中的 DC 进行身份验证,并访问利用的资源ADS&S 信息(如 DFS),因为 DR 站点是离这些客户端最近的 AD 站点(从第 3 层的角度来看),这不是我想要的,因为低速 WAN 连接和 AD 复制仅在下班后发生,并且主办公室和 DR 站点之间的 AD 可能不一致(除了那些触发紧急复制的更改)。
所以我要做的是创建 192.168.3.0/24 子网并将其与主办公站点相关联。这允许卫星办公室中的客户端通过高速以太网连接建立对 DC 的关联并对其进行身份验证并访问主办公室站点中的资源,这正是我想要的。
您不需要为网络人员创建的每个第 3 层子网创建一个新子网。相反,创建与整个站点的 IP 地址分配相对应的子网。
这是一个简单的例子。
假设您有两个站点。我们称它们为“纽约”和“山景城”。纽约的整个IP分配是10.187.128.0/22。Mountain View 有 10.187.132.0/22,但在 10.244.0.0/16 中也有一些旧的垃圾。
网络人员会将所有这些地址划分为小至 /29 的微小子网,子网数量将达数千个,但它们都包含在这些超网块中。
但是,在 AD 中,纽约站点只需要定义一个子网,而山景城站点只需要定义两个子网。它们涵盖了各自块内所有可能的 IP 地址。
假设您实际上“需要”这些子网并且不能像@MichaleHampton 在他的出色回答中所建议的那样...
如果您不喜欢雇用 50 名 AD 管理员的想法,您可以用最近的坚硬、钝的物体打击您的网络管理员,直到他们停止做出这种根本上糟糕的设计决策。
真的,我想不出为数以千计的 ["real"] 子网* 见“脚注”,除了好奇你能在实验室或测试环境中把东西弄得多么混乱,甚至有人这样做[“真实”] 子网数量的方法是市值大于大多数国家 GDP 的大型跨国公司,或者是大型国家/跨国 ISP/托管服务提供商。在这两种情况下,他们确实有数十名员工来保持秩序。
否则你将无法处理这个问题。要么雇用几十个人来解决问题,要么改变网络设计以……减少……甚至可以由不到一排系统管理员进行远程管理。
老实说,甚至不要尝试。上面写满了“失败”、“倦怠”和“糟糕的想法”。尝试就像在泰坦尼克号撞上冰山后重新安排躺椅。沉入数千英尺冰冷的海水中,您能够取得的任何进步很快就会黯然失色,因此您的时间最好花在躺椅上,喝点酒,抽支烟,享受最后的时光在你被某种死亡吞没之前。(而且我不知道我是否在隐喻,FWIW,我知道 IT 领域的 3 个人在 35 岁之前因这种精神错乱而心脏病发作。)
而且,当然,如果你不能改变你的上司或网络团队的想法,那么,你不能与我所知道的任何国家的公司结婚,所以你最好的选择可能是离开。没有什么工作值得在 30 岁出头时心脏病发作。
*脚注:
“真实”子网是指实际使用的子网。我曾在托管服务环境中接触过成千上万的客户,每个客户都得到一个简单的平面子网,托管服务提供商实际上并未管理或更改该子网,但这听起来绝对不是您的用例。如果是,请告诉我,我可以调整我的答案,因为使用 *AMP 数据库(或 *AMP 类产品)可以很容易地处理这个问题。
“学习编写脚本”是一个很好的答案。据推测,有人正在按照预先制定的计划做这些事情?根据他们的计划工作,同时在 AD 中创建/修改/等这些站点和子网。
一些进一步的想法 - 如果这是“不断发展的”,那是否包括这些子网中的用户桌面?如果没有,那么您甚至不需要这样做。如果是这样,是否有人已经在处理不断变化的 IP 地址、DHCP 范围等?也许你可以委托给他们。
另一个想法 - 如果这些子网并不总是跨越 WAN 链接,(即可以超网连接在一起的子网与高速 LAN 连接连接良好),那么只需使站点和子网与超网匹配即可,不必担心这些子网级别的东西。(编辑 - 这与迈克尔汉普顿在他的回答和链接中所说的相同。)
除了迈克尔汉普顿提供的答案外,我还想补充以下内容:
在某些情况下,您需要考虑在配置 ADS&S 时希望身份验证和资源访问如何工作,然后您需要相应地配置 ADS&S。例如,假设我有三个地理位置分散的位置:
主办公室:克利夫兰 - 192.168.1.0/24 - 高速以太网连接到卫星办公室,有两个 DC。到 DR 站点的低速 WAN 连接。
DR 站点:Akron - 192.168.2.0/24 - 到主办公室和卫星办公室的低速 WAN 连接,并有两个 DC。AD 复制仅限于下班时间。
卫星办公室:Canton - 192.168.3.0/24 - 与总部的高速以太网连接 - 没有 DC。到 DR 站点的低速 WAN 连接。
现在,如果我为每个具有 DC 的位置创建一个站点,并且仅将这些子网与这些站点相关联,那么默认情况下,卫星办公室中的客户端将尝试建立亲缘关系并向 DR 站点中的 DC 进行身份验证,并访问利用的资源ADS&S 信息(如 DFS),因为 DR 站点是离这些客户端最近的 AD 站点(从第 3 层的角度来看),这不是我想要的,因为低速 WAN 连接和 AD 复制仅在下班后发生,并且主办公室和 DR 站点之间的 AD 可能不一致(除了那些触发紧急复制的更改)。
所以我要做的是创建 192.168.3.0/24 子网并将其与主办公站点相关联。这允许卫星办公室中的客户端通过高速以太网连接建立对 DC 的关联并对其进行身份验证并访问主办公室站点中的资源,这正是我想要的。