VPNトンネルがダウンしている場合、外部ロケーションの読み取り専用ドメインコントローラーは機能しますか?
私は世界中に複数のサイトを持っているクライアントを持っています。メインの場所に2つのドメインコントローラーがあり、他のすべての場所はVPNトンネルを使用してメインサイトに接続します。現在、ネットワークは多かれ少なかれ災害であるため、私はそれを修正しようとしています。セカンダリサイトに共通することの1つは、ネットワーク設定のルーターにISPローカルDNSサーバーがあるため、DHCPベースのコンピューターが「間違った」DNSサーバーになることです。それは昔からそうだったし、彼らはサーバーに接続するためにIPアドレスを使用している。
だから私は適切なDNSサーバーなどでそれを修正したいと思います。それで私はその場所にある唯一のサーバー(ターミナルサービスと人々が仕事に使用するVisualStudioのようないくつかのプログラムを含む)でRODCとDNSサーバーを使用することを計画していました。もう1つのオプションは、メインの場所からDNSサーバーにアクセスすることでしたが、トンネルがダウンすると、従業員は混乱し、インターネットにアクセスできなくなります(ルーター設定を変更する必要があるため)。したがって、これは信頼できる解決策とは思えません。
私の質問は次のとおりです。
- VPNトンネルがダウンした場合、人々は問題なくDNSを使用でき(インターネットにアクセスできます)、ローカルサーバー/ワークステーションに対して認証できますか?
- 安全で推奨されていますか(??)、または逆に、RODC/DNSサーバーをユーザーや他のプログラムとまったく同じサーバーに配置することはお勧めしませんか?
- この設定に関する他のアドバイスはありますか?
RODCを使用する場合、DNSには実際に2つのオプションがあります
- Active Directoryが統合されている読み取り専用のプライマリゾーン(正しく聞こえないことはわかっていますが、そうです)または
- 標準のセカンダリゾーン
明らかに、RODC(またはそのオフィス)に書き込み可能なプライマリゾーンがあることはセキュリティの問題です。
これがあり、パスワードレプリケーションポリシーでキャッシュされた資格情報を正しく設定していると仮定すると、ネットワークがダウンしたときに、ユーザーは作業を続行できるはずです。
RODCに対応する読み取り専用のDNSゾーンがあるとすると、これは安全です。明らかに、資格情報をローカルにキャッシュしている場合は、そこにわずかなリスクがありますが、PRPを適切に使用している場合は、何かが起こった場合にこれらの資格情報を取り消すことができるはずです。