私は、いくつかのサービス自体を実行している Windows Server 2019 サーバーと、Windows および Linux ゲストを備えた Hyper-V 仮想マシンを所有しています。
ユーザーとマシンの管理を一元化するために、アクティブ ディレクトリ ドメイン サービス、ドメイン名、 そしてファイルとストレージホスト システム上のサービス。さまざまな仮想マシンを AD ドメインに参加させ、ユーザーと (仮想) マシン ポリシーを 1 か所から制御します。
これは、分離されたビューでは正常に動作しています。
全体像としては、すべてのサービス (AD DS、DNS、ファイル、ストレージ) があらゆるもの (任意のインターフェイス) にバインドされているということです。私はすぐにそれに気づき、サービスをオンにしたい内部インターフェイスのみに一致するように、サービスのファイアウォール ルールを無効 (または変更) にしました。
ただし、夜間の再起動 (パッチのインストールなど) 後、AD DS、DNS、ファイル、ストレージによって追加されたファイアウォール ルールの一部またはほとんどが再度有効化され、デフォルト状態 (任意のインターフェイス) に変更されました。
AD DS、DNS、ファイルおよびストレージ サービスを、指定された内部インターフェイスにのみバインドするように構成するにはどうすればよいでしょうか。また、サーバーを再起動するたびにファイアウォール ルールが上書きされないように、ファイアウォール ルールの変更を強制するにはどうすればよいでしょうか。
答え1
1 つの Windows Server インスタンスに AD、Hyper-V、およびファイル サーバーを混在させないでください。ベアメタルに Hyper-V をインストールし、AD およびファイル サーバー ロール用に個別の Windows VM を展開するだけです。仮想スイッチを使用すると、各ロールのネットワーク インターフェイスを分離できます。
同じサーバー上で Hyper-V と AD ロールを組み合わせることに関する説明は次のとおりです。 https://www.hyper-v.io/combining-hyper-v-dc-role-server-bad-idea/