我希望将另外两个
Windows Server 2003域控制器部署到一个单独的机密DMZ中,同时安装在常规网络中的6个DC上,总共可以生成8个DC. 2个机密DC将通过IPSec通过防火墙与常规网络DC通信.
但是,我想知道如何阻止常规网络工作站和服务器尝试使用机密DC进行身份验证?有没有办法使用AD站点和服务来阻止常规网络工作站和服务器尝试与这些机密DC通信?
我想说的是,是否会出现问题,或者当常规网络工作站或服务器尝试使用机密DC进行身份验证时,这会导致问题或是否会超时并尝试其他DC并继续进行?
解决方法
您不能完全阻止客户端计算机“尝试”与它们进行“永远”通信,而是将它们放入单独的AD站点(假设它们位于与“生产”DC不同的子网中),您将阻止客户端计算机只要至少有一个“生产”DC始终保持运行,就试图访问它们.如果所有“生产”DC都不可用,则客户端将尝试联系另一个站点中的DC–可能是“机密”站点.
抢先一步,如果有人在另一个答案中提出建议:尝试使用“机密”DC创建的DNS条目玩游戏可能是一个坏主意.我不怀疑有一种方法可以操作DC注册的DNS条目以停止身份验证但仍允许复制,但我无法想象微软会“支持”这样的猴子业务.
