Beschreibung der Supportgrenzen für Active Directory über NAT

  • Artikel

In diesem Artikel werden die Supportgrenzen für Active Directory über NAT beschrieben.

Gilt für: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 978772

Zusammenfassung

Die Netzwerkadressenübersetzung (Network Address Translation, NAT) ist eine Auswahl von Netzwerktechniken, die die Adressinformationen des Netzwerkdatenverkehrs während der Übertragung so ändern, dass Details zum Ursprungsnetzwerk entfernt werden. Dies geschieht in den meisten Fällen von Netzwerkgeräten und soll die einfache Verwendung privater Netzwerkadressschemas ermöglichen und manchmal als weniger ideale Sicherheitsmaßnahme dienen.

Die Domänencontrollerkommunikation (DC) und die Client-zu-DC-Kommunikation über eine NAT ist ein Szenario, das Kunden in Fusions- und Übernahmeszenarien häufig begegnen. Ein erforderlicher Dienst beim Verbinden der Netzwerke der beiden Unternehmen sind die Authentifizierungs-, Autorisierungs- und Verzeichnisdienste, die von Active Directory angeboten werden.

Es gibt keine Hinweise darauf, dass eine gesamtstrukturübergreifende NAT-Konfiguration die DC-zu-DC-Kommunikation oder die Client-zu-DC-Kommunikation grundsätzlich unterbricht. Microsoft hat dieses Szenario nicht mit Active Directory und anderen Technologien im Zusammenhang mit Active Directory getestet. Beispiele für andere Technologien sind das Kerberos-Protokoll oder DFS.

Microsoft-Erklärung zu Active Directory über NAT

  • Active Directory über NAT wurde nicht von Microsoft getestet.
  • Active Directory über NAT wird nicht empfohlen.
  • Die Unterstützung für Probleme im Zusammenhang mit Active Directory über NAT ist begrenzt und erreicht schnell die Grenzen kommerziell angemessener Anstrengungen.

Wenn Sie mit der Konfiguration eines Netzwerks mit NAT beauftragt sind und planen, eine Beliebige Microsoft Server-Lösung (einschließlich Active Directory) über die NAT auszuführen, wenden Sie sich an den technischen Support von Microsoft, indem Sie Ihren bevorzugten Ansatz verwenden, oder besuchen Sie Microsoft-Support. Darüber hinaus können Sie sich an Microsoft Consulting Sevices wenden.

Es gibt keine explizite oder konkludente Garantie, dass das Befolgen einer bereitgestellten Anleitung in einem bestimmten Szenario funktioniert, da es nicht getestet wurde. Die Supportteams arbeiten an Problemen, die sich aus der Verwendung der bereitgestellten Anleitung bis zu den Grenzen des wirtschaftlich angemessenen Aufwands ergeben.

Die einzige Konfiguration mit NAT, die von Microsoft getestet wurde, ist die Ausführung des Clients auf der privaten Seite einer NAT und alle Server befinden sich auf der öffentlichen Seite der NAT. Die NAT würde auch als DNS-Server fungieren.