延續上一篇~當我的LAB環境透過Fortinet 60E 與Azure 建立Site to Site VPN 後,我想做的是在Azure Site 建立一台DC 當作雲端備用的DC,預防Local Site DC 都發生問題造成用戶驗證出問題。
在上一篇已經確定在Azure VM 可以透過VPN 與Local Site 通訊,所以我將該VM已經升級為網域中的一台網域控制站,升級的網域控制站在此不多作說明網路上即本小站都有類似文章,只是在Azure 建立VM後語系需要再修改成繁體中文,我是直接在這台VM上連到MSDN下載語系包來安裝的。
先說明一下我的LAB網域環境
有一台cisco 3750 切VALN
規劃的網段
Local Site 網段
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
192.168.40/24
192.168.10.1/24 (只有Local內部溝通)
Azure
Azure Site 網段
10.10.2.0/24
我是有兩台Hyper-v 主機,2台主機個有一台DC,因為要模擬子網域所以在這兩台hyper-v 主機利用私有虛擬交換器建立一個獨立網段並用一台VM作LAN Route請在cisco 3750 有設定一筆路由要連192.168.10.0/24網段走LAN Route VM,但是在上一篇設定VPN時我沒有再Azure 網路設定192.168.10.0/24網段所以從azure 網路透過VPN 到Local Site 這段無法溝通。
我想達成的是,當我Local Site DC 都發生狀況,至少用戶端可以透過與azure vpn 連線和azure 上的 DC VM 做驗證,或是說當兩台DC發生很大的災難時無法復原必須要重新安裝系統,此時如果azure 上的DC 運作正常,這樣或許可以將5大角色都搶奪到 Azure上的DC,確認都OK後再反向在local site 重建DC 把資料同步回來。
預設當DC都建置好沒有特別設定在site 的規劃這三台主機都會在default-first-Site,所以用戶登入網域會隨機找這三台。
所以在AD 站台中心新增了兩個 azure and local site,並且把兩個site 的網段也都設定好,其中前面有說明我的環境有一個子網域DC但是azure site 無法連到此網段,所以我把子網路這網段規劃在local Site。
site link 設定 我這邊新增azure-to-local 讓兩個site 同步資料
因為預設系統會自動橋接所有站台連結,但是我想控制複寫方向或兩個站台間受到限制無法溝通時的複寫方式。如下圖預設[橋接所有站台複寫]是打勾的,所以我將它取消。
因為子網域和 父網域DC都是規劃在Local Site 所以KCC 在判斷時有可能會找Azure 上的DC做複寫,所以之前上課有聽老師說規劃site bridage (喜好伺服器),所以我在兩個站台個挑一台DC當作site 之間複寫的主要伺服器。
都設定OK後等待KCC計算後
可以看到 Azure DC 複寫來源是DC02 ,沒有其他台
子網域DC 複寫的來源則就是local site 兩台
而另外一台Local DC 複寫來源就是 子網域DC 和 DC02
Local Site 有設定bridage 喜好伺服器的DC 會看到有和Azure DC 複寫
以上是我自己想法,也確實設定在我的LAB,我不確定是否正確,歡迎大家一起來討論。
本篇瀏覽人數: 3107
