active-directory – DMZ中的Active Directory域控制器

概述我希望将另外两个 Windows Server 2003域控制器部署到一个单独的机密DMZ中,同时安装在常规网络中的6个DC上,总共可以生成8个DC. 2个机密DC将通过IPSec通过防火墙与常规网络DC通信. 但是,我想知道如何阻止常规网络工作站和服务器尝试使用机密DC进行身份验证？有没有办法使用AD站点和服务来阻止常规网络工作站和服务器尝试与这些机密DC通信？ 我想说的是,是否会出现问题,或者 我希望将另外两个 Windows Server 2003域控制器部署到一个单独的机密DMZ中,同时安装在常规网络中的6个DC上,总共可以生成8个DC. 2个机密DC将通过IPSec通过防火墙与常规网络DC通信.

但是,我想知道如何阻止常规网络工作站和服务器尝试使用机密DC进行身份验证？有没有办法使用AD站点和服务来阻止常规网络工作站和服务器尝试与这些机密DC通信？

我想说的是,是否会出现问题,或者当常规网络工作站或服务器尝试使用机密DC进行身份验证时,这会导致问题或是否会超时并尝试其他DC并继续进行？

解决方法 您不能完全阻止客户端计算机“尝试”与它们进行“永远”通信,而是将它们放入单独的AD站点(假设它们位于与“生产”DC不同的子网中),您将阻止客户端计算机只要至少有一个“生产”DC始终保持运行,就试图访问它们.如果所有“生产”DC都不可用,则客户端将尝试联系另一个站点中的DC–可能是“机密”站点.

抢先一步,如果有人在另一个答案中提出建议：尝试使用“机密”DC创建的DNS条目玩游戏可能是一个坏主意.我不怀疑有一种方法可以 *** 作DC注册的DNS条目以停止身份验证但仍允许复制,但我无法想象微软会“支持”这样的猴子业务.

总结

以上是内存溢出为你收集整理的active-directory – DMZ中的Active Directory域控制器全部内容，希望文章能够帮你解决active-directory – DMZ中的Active Directory域控制器所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。