短縮版:Active Directory 2012 R2 ドメイン コントローラーが特定のインターフェイスでドメインをアドバタイズしないようにするにはどうすればよいですか? そのネットワークがドメイン ネットワークとしてフラグ付けされないようにし、ドメイン サービスが利用できないようにします。
環境: 小規模な Hyper-V クラスターと関連する VM を管理するための自己完結型 AD。DC は VMM サーバーも実行し、VMM コンソールにアクセスする必要があるため、運用ネットワークにアクセスできます。
長期目標 / 潜在的な解決策:VMM 以外のトラフィックが実稼働ネットワークに到達しないようにしたいと考えています。Windows ファイアウォールを使用して、VMM 以外のすべての発信接続をブロックすることを検討しましたが、インターフェイスに特定のプロファイルを強制する方法がわかりません。
ありがとう!
答え1
ドメインコントローラが本番ADの一部ではなく、独自のADを管理している場合、本番ドメインのドメインコントローラとしてアドバタイズされません。もちろん、ドメインコントローラはDNSサーバーとして自身を使用するため、話す運用 DNS サーバーへ。
さらに、実稼働ネットワークに接続されているネットワーク インターフェイスで「Microsoft ネットワーク用クライアント」と「Microsoft ネットワーク用ファイルとプリンターの共有」のチェックを外し、同じインターフェイスの TCP/IP プロパティで NetBIOS を無効にすることで、実稼働ネットワーク上のすべての Microsoft ネットワーク プロトコルを無効にすることができます。TCP/IP は引き続き動作するため、サーバーに RDP で接続したり、VMM コンソールに接続したりすることはできますが、そのインターフェイスでは Windows スタイルのネットワークは実行されません。
また、運用ネットワーク インターフェイス上の DNS 登録を無効にする必要があります。無効にしないと、DC が内部ドメイン サービスに運用向け IP アドレスを登録することによって、内部 DNS が汚染されてしまいます。