DHCPサーバーを含む仮想化ドメインを安全に展開/ホストする

テスト DHCP 構成では MAC アドレスを使用して通常の IP を割り当てるため、既知の MAC アドレスのみを含むようにスコープを制限できます。この方法では、誰かが誤ってメイン ネットワークに配置したとしても、そのスコープ内の MAC のいずれにも一致するリクエストがないため、IP は配布されません。テスト DC をメイン ネットワークに配置することによる潜在的な問題は、次の 2 つの要因に依存します。

1) テスト ネットワークにはメイン ネットワークとは別のサブネットを使用していることを願います。例: テスト ネット = 172.16.0.0、メイン ネット = 10.0.0.0。これにより、両方のサブネットを認識し、それらの間をルーティングするように設定されているルーターに到達できない限り、テスト DC のメイン ネットワーク上のものへのアクセスが制限されます。 2) テスト DC はどのように作成されましたか? テスト DC が最初にメイン ネットワークに接続され、レプリケーションを介して AD データを取得し、その後削除されてテスト環境に配置された場合、テスト DC はメイン ネットワーク上の他の DC を認識し、起動するとそれらの DC との間でレプリケーションを試みます。これは明らかな理由から非常に悪いことです... テスト環境内で作成され、メイン ドメイン名とは別の一意のドメイン名がある場合は、問題ありません。

「より大きな問題」とは、ユーザーが誤って DC をメイン ネットワークに接続している場合、その場合の被害を最小限に抑えるのではなく、Hyper-V の使用方法についてトレーニングを行う必要があるという意味です。開発担当者が実稼働ネットワークの周辺で DC (テスト用または非テスト用) を操作しているとしたら、非常に不安になります...Hyper-V ワークステーションをメイン ネットワークから完全に別のサブネットにさらに分離することはできますか?

「囲い込む」というのは、具体的にどういう意味ですか?

同じサブネット上に 2 つの DHCP サーバーがある場合、一部の要求は 1 つの DHCP サーバーに送信され、一部の要求は別の DHCP サーバーに送信されます。また、両方のサーバーが同じプールから IP を割り当てている場合は、当然競合が発生します。

あなたが説明した状況では、「フェンスで囲まれた」サーバー用にルーティングされたサブネットを作成し、VLAN を使用してサブネットを分離するか、別の安価なスイッチを使用してより物理的に分離することができます。

Windows DHCP サーバーは、マルチホーム (2 つ以上のネットワークに接続) にすることができます。2 つのネットワーク カードを使用すると、1 つのカードを実稼働ネットワークにケーブル接続し、もう 1 つのカードを別のネットワーク スイッチまたは別の VLAN にケーブル接続して、1 つのサーバーを両方のネットワークの DHCP サーバーとして機能させることができます。または、元の質問にあるように、2 つの DHCP サーバーを引き続き運用する場合は、これを行う必要はありません。

次に、フェンスオフされたスイッチまたは VLAN で、実稼働ネットワークとは異なるサブネットを作成します。例:

実稼働スイッチ/VLAN: 172.16.0.0/16 開発スイッチ/VLAN: 172.17.0.0/16

実稼働 DHCP サーバーは 172.16.1.1 - 172.16.1.200 のスコープを使用できます。開発 DHCP サーバーは 172.17.1.1 - 172.17.1.200 のスコープを使用できます。

運用 DHCP スコープでは、開発に静的ルートを配布でき、開発 DHCP スコープでは、運用に静的ルートを配布できます。

たとえば、開発エリアでインターネット アクセスが必要で、インターネットにアクセスできるのが本番ネットワーク経由のみである場合、2 つのエリア間で何らかのルーティングが必要になることがあります。

最も簡単な方法は、DHCP をまったく使用しないことです。プライベート仮想ドメインが大きすぎて、静的 IP を使用して IP アドレスを管理できないのでしょうか。次に、テスト専用のメイン ネットワークに DC を接続する人がいると、問題が大きくなります。私はまだ Hyper-V を使用したことがありませんが、VMWare では少なくとも、ユーザーが VM を別のネットワークに接続したり、ネットワーク構成を変更したりできないように、かなり細かい権限を割り当てることができます。