Join al dominio dietro un NAT

Lavaronado ad un (bel) progetto mi sono imbattuto in nella problematica del titolo, a cui aggiungo una doverosa premessa:
2 reti connesse in VPN, impossibili da ruotare una nell’altra con una classica VPN routed, ma con l’aggiunta di un NAT.

Illustrata per sommi capi la situazione, mi trovo con il problema specifico di “joinare” al Dominio AD della rete A 2 client che risiedono sulla rete B.
Come si può far “vedere” ai client il controller di dominio della rete A, tenendo presente i problemi che ereditiamo dal natting?

Teniamo sempre a mente che la rete A ha una classe 192.168.0.0/24, la rete B ha una classe 192.168.10.0/24, ma vede il network A, a causa della nattatura, come 10.0.0.0/24.
Se il DC si A è 192.168.0.1 all’interno di B il server è raggiungibile come 10.0.0.1.
Vi risparmio un po’ di fatica: non potete impostare 192.168.0.1 come DNS server i pacchetti non passerebbero la VPN e se impostate 10.0.0.1 come Primary DNS in ogni caso il Controller risponderebbe con parametri che appartengono ad un’altra rete.

Soluzione?
semplice, “drogate” il DNS della rete B per risolvere correttamente il Dominio nattato A.

esempio pratico:
il DNS di B avrà sicuramente delle entry per miodominioB.local,
aggiungete una nuova zona miodominioA.local create un “A Record” per il DC in 10.0.0.1
poi create la zona _mscds.miodominioA.local all’interno della quale create un record SRV _ldap su protocollo _tcp per il DC che avete inserito manualmente.
fate la join al dominio e se il DC è un Windows Server 2008 il gioco è fatto!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Moderazione dei commenti attiva. Il tuo commento non apparirà immediatamente.