Active Directory Sites and Services Tips & Tricks–Catch All Subnet

By Andrei Ungureanu - Last updated: Thursday, May 9, 2013 - Save & Share - Leave a Comment

De regula configuratia din Active Directory Sites and Services arata cam ca in imaginea de mai jos, adica avem subnet-uri definite (in general cu masca /24 dar asta depinde de cum e facut subnetting-ul in retea) asociate cu obiecte de site (containerele albastre pentru cine nu stie).

image

Toate astea guverneaza cum se desfasoara replicarea AD si ce domain controller contacteaza clientii. De regula il vor contacta pe cel asociat cu site-ul unde este legat subnetul din care fac parte.

Problemele apar atunci cand infrastructura mea este foarte mare si dinamica (nu ca in imaginea de mai sus) iar schimbarile ce tin de networking si clase de ip-uri nu tin pasul cu ce am definit eu in Sites and Services. Si o sa am clienti din subneturi pe care nu le am definite in AD ce or sa se autentifice random pe domain controllerele din toate site-urile.

Si o sa incerc sa fiu mai specific si sa merg pe exemplul folosit in prima imagine. Sa presupunem ca firma se extinde rapid si apar diverse site-uri (sa zicem mici) ce sunt conectate la infrastructura si care nu au domain controller. Tocmai din motivul asta ca nu au DC e posibil ca noi sa nu aflam de ele imediat iar procesul de autentificare nu se va face asa cum dorim noi.

O solutie la astfel de probleme este definirea proactiva a unor subneturi care sa acopere un range mult mai mare de adrese si care sa redirectioneze cererile de autentificare pentru tot ce nu a fost definit explicit catre site-ul cel mai apropiat sau unul central.

image

Dupa cum se vede in imaginea de mai sus au aparut doua site-uri cu subneturile 192.168.50.0/24 si 172.16.5.0/24 ce vor trebui sa se autentifice undeva. Si definind subneturi cu masca /16 pot acoperi intreg range-ul de adrese 192.168.x.x si 172.16.x.x si pot face ca toate autentificarile din aceste clase (ATENTIE: ce nu sunt deja definite intr-un subnet cu o masca mai mica) sa se duca la domain controllerele din site-ul meu central. ALTFEL se vor duce random catre orice alt site cu DC-uri.

image

Este un mod destul de simplu de a directiona cererile de autentificare in AD si poate fi util daca intelegi cum functioneaza. Totusi este important sa nu va bazati numai pe aceasta funtionalitate si sa incercati sa definiti cat mai exact subnet-urile in AD.

Posted in Active Directory • Tags: , Top Of Page

Write a comment