私は、1 つの物理アダプタで多数の VM を実行する Win2008 R2 HyperV ホストを持っています。外部 IP アドレスのサブネットがあります: xxx208 / 255.255.255.240
以前は次のような設定でした:
ホスト OS には、AD DC、HyperV、RRAS、DHCP、DNS の役割があります。物理アダプタには、使用可能なすべての IP アドレスが明示的に割り当てられます。
xxx210 / 255.255.255.240
...
xxx221 / 255.255.255.240
HyperV ネットワークには 1 つの外部ネットワークが作成されますが、「管理 OS がアダプターを共有できるようにする」オプションがオンになっているため、この方法ではホスト OS にもパブリック IP を割り当てることができます。
HyperV は、内部 LAN (192.168.2.0 / 255) に使用する別のネットワーク アダプターを作成しました。RRAS は NAT および LAN ルーティング用に設定され、次のようにゲストの NAT を実行します。
xxx210 -> 192.168.2.10、着信セッションを許可する = はい
...
xxx221 -> 192.168.2.21、着信セッションを許可する = はい
したがって、基本的にすべてのゲスト VM には外部 IP アドレスがありませんでしたが、ゲスト VM にとってはこれは問題ではありませんでした。ゲスト VM はインターネットにアクセスでき、外部からアクセス可能でした。
その後、RRAS、VPN などで問題が発生し始めたので、調べてみたところ、NAT スキーマは良くなく ( could someone comment on this btw?)、ゲスト VM が外部ネットワークに直接アクセスできるように物理アダプターを仮想化する必要があることがわかりました。それで、これを実行しました。
現在の設定は次のとおりです。
外部アダプターから「管理 OS がアダプターを共有できるようにする」を削除し、HyperV に 2 番目の内部ネットワークを追加しました。
次に、各ゲスト VM に 2 番目のネットワーク アダプターを追加し、それぞれにパブリック IP アドレスを明示的に設定する必要がありました。これは実行され、正常に動作します。RRAS ロールはホストから削除されました。
質問:
私は正しいことをしたでしょうか? 私の内なる感覚はそう言っています。ここは「部品」が少ない (少なくともそう見える) からですが、私はただ権威ある意見をいくつか聞きたいだけです。
現在の設定と古い設定を比較して注意すべき問題はありますか? 上記のようにネットワークを設定した後、実行すべきベスト プラクティスはありますか?
おそらく、私にとって最も重要な質問です。どちらのシナリオでも、ファイアウォールはゲスト VM 上で実行されており、切り替え後も何も変わっていません。また、NAT はトラフィックのフィルタリングを行わず、すべてが直接ゲストに送信されるというのが私の理解でした。ただし、切り替え直後から、ログに次のエラーが表示され始めます (Exchange VM サーバー上)。
受信コネクタの既定の EXCHANGE の受信認証がエラー LogonDenied で失敗しました。認証メカニズムは Ntlm です。Microsoft Exchange への認証を試みたクライアントの送信元 IP アドレスは [200.195.42.7] です。
これは、新しいセットアップでは VM が外部の脅威に「より」さらされるようになったことを意味しているように私には思えますが、NAT シナリオではなぜそうならないのか理解できません。確認したところ、切り替え前にはそのようなエラーはまったくありませんでした。なぜ今このようなエラーが発生するのでしょうか。ネットワークの観点から何が変わったのでしょうか。