Beschrijving van de grenzen van de ondersteuning voor Active Directory via NAT

Van toepassing: Windows Server, version 1903, all editionsWindows Server 2019, all editionsWindows Server 2008 R2 Datacenter

Samenvatting


Netwerkadresomzetting (NAT) is een selectie van netwerk technieken die de adresgegevens van netwerkverkeer tijdens de overdracht wijzigen om details over het oorspronkelijke netwerk te verwijderen. Dit wordt meestal gedaan door netwerkapparaten en is bedoeld om eenvoudig het gebruik van particuliere netwerkadresschema's mogelijk te maken, en soms als een minder dan ideale beveiligingsmaatregel. Domain Controller (DC)-naar-DC-communicatie en client-naar-DC-communicatie via een NAT is een scenario dat klanten vaak tegenkomen in scenario's voor fusie en overname. Een vereiste service bij het verbinden van de netwerken van de twee bedrijven is de verificatie, autorisatie en Directory-Services die worden aangeboden door Active Directory. er is geen bewijs om aan te geven dat een NAT-configuratie voor meerdere forests inherent breekt DC-naar-DC communicatie of client-naar-DC-communicatie. Microsoft heeft dit scenario niet getest met Active Directory en andere technologieën die betrekking hebben op Active Directory. Voorbeelden van andere technologieën zijn het Kerberos-protocol of DFS.

Meer informatie


De Microsoft-instructie met betrekking tot Active Directory via NAT is:
  • Active Directory via NAT is niet getest door Microsoft.
  • Active Directory wordt niet aanbevolen via NAT.
  • Ondersteuning voor problemen met betrekking tot Active Directory via NAT zal zeer beperkt zijn en zal de grenzen van commercieel redelijke inspanningen zeer snel te bereiken.
Als u een netwerk met NAT configureert en u van plan bent een Microsoft-server oplossing (inclusief Active Directory) uit te voeren via de NAT, neem dan contact op met de technische ondersteuning van Microsoft via uw voorkeurs benadering of ga naar:Bovendien u contact opnemen met Microsoft Consulting sevices. er is geen expliciete of impliciete garantie dat na de verstrekte richtlijnen zal werken in een bepaald scenario, omdat het is niet getest. De ondersteuningsteams zullen werken aan problemen die voortvloeien uit het gebruik van de verstrekte richtlijnen voor de grenzen van de commercieel redelijke inspanning. De enige configuratie met NAT die is getest door Microsoft wordt uitgevoerd client op de particuliere kant van een NAT en alle servers die zich aan de openbare kant van de NAT. De NAT zou ook fungeren als een DNS-server.