Kurzfassung:Wie verhindern Sie, dass ein Active Directory 2012 R2-Domänencontroller die Domäne auf einer bestimmten Schnittstelle bekannt gibt? Ich möchte, dass dieses Netzwerk nicht als Domänennetzwerk gekennzeichnet wird und dass keine Domänendienste verfügbar sind.
Umfeld: Ein eigenständiges AD zur Verwaltung eines kleinen Hyper-V-Clusters und der zugehörigen VMs. Der DC betreibt auch den VMM-Server und hat Zugriff auf das Produktionsnetzwerk, da er auf die VMM-Konsole zugreifen muss.
Langfristiges Ziel / mögliche Lösung:Ich möchte, dass absolut kein Nicht-VMM-Verkehr das Produktionsnetzwerk erreicht. Ich habe überlegt, einfach alle Nicht-VMM-ausgehenden Verbindungen mit der Windows-Firewall zu blockieren, weiß aber nicht, wie ich einer Schnittstelle ein bestimmtes Profil aufzwingen kann.
Danke!
Antwort1
Wenn der Domänencontroller nicht Teil Ihres Produktions-AD ist, sondern sein eigenes verwaltet, wird er sich nicht als Domänencontroller für Ihre Produktionsdomäne(n) bekannt geben. Er sollte sich selbst natürlich als DNS-Server verwenden, daher wird er nicht einmalsprechenzu Ihren Produktions-DNS-Servern.
Darüber hinaus können Sie alle Microsoft-Netzwerkprotokolle im Produktionsnetzwerk deaktivieren, indem Sie die Häkchen bei „Client für Microsoft-Netzwerke“ und „Datei- und Druckerfreigabe für Microsoft-Netzwerke“ auf der Netzwerkschnittstelle entfernen, die mit Ihrem Produktionsnetzwerk verbunden ist. Außerdem können Sie NetBIOS in den TCP/IP-Eigenschaften derselben Schnittstelle deaktivieren. TCP/IP bleibt dann betriebsbereit und Sie können sich per RDP mit dem Server verbinden und sogar eine Verbindung zur VMM-Konsole herstellen. Auf dieser Schnittstelle findet jedoch keine Netzwerkverbindung im Windows-Stil statt.
Sie sollten außerdem die DNS-Registrierung an der Produktionsnetzwerkschnittstelle deaktivieren. Andernfalls wird Ihr internes DNS dadurch verunreinigt, dass der DC seine produktionsseitige IP-Adresse für interne Domänendienste registriert.