Ich habe einen Windows Server 2019-Server, der einige Dienste selbst ausführt, und virtuelle Hyper-V-Maschinen mit Windows- und Linux-Gästen.
Zur Zentralisierung der Benutzer- und Maschinenverwaltung habe ichActive Directory-Domänendienste,DNS, UndDatei und SpeicherungDienste auf dem Hostsystem. Ich habe die verschiedenen virtuellen Maschinen der AD-Domäne hinzugefügt und steuere Benutzer und (virtuelle) Maschinenrichtlinien von einem einzigen Punkt aus.
In einer isolierten Ansicht funktioniert dies einwandfrei.
Das Gesamtbild ist, dass alle Dienste (AD DS, DNS, Datei und Speicher) an alles (jede Schnittstelle) gebunden sind. Ich habe das schnell erkannt und die Firewall-Regeln für die Dienste deaktiviert (oder geändert), sodass sie nur mit der internen Schnittstelle übereinstimmen, auf der ich die Dienste haben möchte.
Nach dem nächtlichen Neustart (Installieren von Patches usw.) wurden jedoch einige/die meisten der von AD DS, DNS, Datei und Speicher hinzugefügten Firewall-Regeln wieder aktiviert und in den Standardzustand (jede Schnittstelle) zurückgesetzt.
Wie konfiguriere ich AD DS, DNS sowie Datei- und Speicherdienste so, dass sie nur an eine angegebene interne Schnittstelle gebunden werden, oder wie erzwinge ich Änderungen meiner Firewall-Regeln, sodass „sie“ (die Dienste) diese nicht nach jedem Serverneustart überschreiben?
Antwort1
Mischen Sie AD, Hyper-V und File Server nicht in einer Windows Server-Instanz. Installieren Sie Hyper-V einfach auf Baremetal und stellen Sie separate Windows-VMs für die AD- und FileServer-Rolle bereit. Virtuelle Switches ermöglichen Ihnen, Netzwerkschnittstellen für jede Rolle zu trennen.
Hier finden Sie eine Erklärung zur Kombination der Hyper-V- und AD-Rolle auf demselben Server: https://www.hyper-v.io/combining-hyper-v-dc-role-server-bad-idea/