AD - RODC in der DMZ (Replikation, Subnets, Sites, DNS)
Hi,
die Herausforderung ist, einen RODC in der DMZ zu betreiben. Es gibt nur 1 Forrest und nur 1 Domäne (alle Windows Server 2008).
Stand jetzt:
Site: "LAN" / Subnet: 192.168.1.0 / 24
dc-01.contoso.com (kein DNS, GC)
dc-02.contoso.com (DNS, kein GC)
dc-03.contoso.com (kein DNS, GC)
Site: "DMZ" / Subnet: 192.168.2.0 / 24
dc-04.dmz.contoso.com (DNS, GC)
Das RODC-Konto habe ich im voraus im LAN angelegt. Dabei wurde ein für Server dc-04 ein NTDS Objekt "RODC Connection (FRS)" mit Server dc-02 angelegt.
1.) Die Replikation soll auch nur zwischen diesen beiden Servern stattfinden!
Nach dem dcpromo /UseExistingAccount:Attach (was sauber durchgelaufen ist), wurden inzwischen automatisch weitere NTDS Objekte mit dc-01 und dc-03 angelegt, was nicht erwünscht ist.
Ist der Weg, das Ziel zu erreichen, wirklich so umständlich, wie mein gedachter Lösungsvorschlag:
a.) dc-01 und dc-03 in den Standort "LAN ONLY" verschieben
b.) dc-02 in den Standort "LAN CONNECTOR" verschieben
c.) zwischen LAN ONLY und LAN CONNECTOR einen SiteLink mit den Kosten 50 anlegen
d.) dc-04 in den Standort "DMZ" verschieben
e.) zwischen LAN CONNECTOR und DMZ einen SiteLink mit den Kosten 100 anlegen
f.) Option "Brücke zwischen allen Standortverknüpfungen herstellen" DEAKTIVIEREN
g.) abwarten und Tee trinken
Das kommt mir so kompliziert vor, habt ihr einen besseren Vorschlag?
2.) Kann der RODC dc-04 (welcher ja DNS und GC ist) einen einzigen Replikationspartner haben (nämlich dc-02), welcher kein GC ist?
3.) Zum DNS kommt mir ferner seltsam vor:
Der FQDN von dc-04 lautet dc-04.dmz.contoso.com
Nun ist dieser RODC jedoch in die Domäne aufgenommen worden und es ist ein Computerkonto in AD DS angelegt. Im DNS finde ich nun auch ein funktionierendes FQDN dc-04.contoso.com ! Ist das so korrekt? Hier vermischen sich jetzt irgendwie DNS und AD DS.
Gruß,
- Andreas
|
