对 Active Directory 的支持边界（通过 NAT）的说明

本文介绍 Active Directory 对 NAT 的支持边界。

原始 KB 编号： 978772

摘要

网络地址转换 (NAT) 是一系列网络技术，这些技术在传输过程中会更改网络流量的地址信息，从而删除有关原始网络的详细信息。 这通常由网络设备完成，旨在使专用网络地址方案能够轻松使用，有时还不是理想的安全措施。

域控制器 (DC) 到 DC 通信和通过 NAT 的客户端到 DC 通信是客户在合并和收购方案中经常遇到的场景。 连接两家公司网络时所需的一项服务是 Active Directory 提供的身份验证、授权和目录服务。

没有证据表明 NAT 跨林配置本质上会中断 DC 到 DC 通信或客户端到 DC 通信。 Microsoft 尚未使用 Active Directory 和其他与 Active Directory 相关的技术测试此方案。 其他技术的示例包括 Kerberos 协议或 DFS。

有关 Active Directory over NAT 的 Microsoft 声明

• Active Directory over NAT 尚未经过 Microsoft 测试。
• 不建议使用 ACTIVE Directory 而不是 NAT。
• 对 Active Directory 与 NAT 相关的问题的支持将受到限制，并且将很快达到商业上合理的工作范围。

如果你的任务是使用 NAT 配置网络，并且你计划运行任何 Microsoft Server 解决方案 (包括跨 NAT 的 Active Directory) ，请使用你的首选方法联系 Microsoft 客户技术支持，或访问 Microsoft 支持。 此外，还可以联系 Microsoft Consulting Sevices。

没有明确或暗示的保证，遵循提供的任何指南将适用于任何给定的方案，因为它未经测试。 支持团队将处理因使用提供的指南对商业上合理努力的限制而引发的问题。

Microsoft 测试的 NAT 的唯一配置是在 NAT 的专用端运行客户端，并且所有服务器都位于 NAT 的公共端。 NAT 还将充当 DNS 服务器。