Version corta:¿Cómo se puede evitar que un controlador de dominio Active Directory 2012 R2 anuncie el dominio en una interfaz específica? Quiero que esa red no se marque como una red de dominio y que no haya servicios de dominio disponibles.
Ambiente: Un AD autónomo para administrar un pequeño clúster Hyper-V y las máquinas virtuales relacionadas. El DC también ejecuta el servidor VMM y tiene acceso a la red de producción debido a la necesidad de acceder a la consola VMM.
Objetivo a largo plazo / Solución potencial:Me gustaría que ningún tráfico que no sea VMM llegue a la red de producción. He considerado simplemente bloquear todas las conexiones salientes que no sean vmm con el Firewall de Windows, pero no sé cómo forzar un perfil particular en una interfaz.
¡Gracias!
Respuesta1
Si el controlador de dominio no forma parte de su AD de producción sino que administra el suyo propio, no se anunciará como controlador de dominio para sus dominios de producción. Por supuesto, debería utilizarse a sí mismo como servidor DNS, por lo que ni siquierahablara sus servidores DNS de producción.
Además, puede desactivar todos los protocolos de red de Microsoft en la red de producción desmarcando "Cliente para redes Microsoft" y "Compartir archivos e impresoras para redes Microsoft" en la interfaz de red conectada a su red de producción, y también desactivando NetBIOS en TCP. Propiedades /IP de la misma interfaz; TCP/IP permanecerá operativo y, por lo tanto, podrá realizar RDP en el servidor e incluso conectarse a la consola VMM, pero no se realizará ninguna red al estilo de Windows en esa interfaz.
También debe deshabilitar el registro de DNS en la interfaz de red de producción, o su DNS interno se contaminará cuando el DC registre su dirección IP de producción para los servicios de dominio internos.