Estamos configurando una confianza entre un dominio local independiente (DMZ de ahora en adelante) y un dominio corporativo que es AD/AAD (sincronizado) (CORP de ahora en adelante) para que los usuarios de CORP puedan iniciar sesión en servidores unidos a DMZ. Para ser claros, están en bosques separados.
Mi intención es establecer un fideicomiso externo no transitivo desde DMZ a CORP.
Ahora, la cuestión es que el dominio CORP tiene dos controladores de dominio locales y dos controladores de dominio como máquinas virtuales en Azure... Me gustaría evitar tener que agregar dos reglas de firewall (una para los controladores de dominio locales, otra para los DC de Azure). ¿Cómo podría limitar cualquier tráfico de AD desde DMZ a CORP para que solo llegue a los DC de CORP locales, o eso no sería deseable por ningún motivo además de la redundancia?
Supongo que, si es posible, esto tendrá que ver con la configuración de CORP AD en sitios y servicios, en cuyo caso es posible que tenga algunas preguntas de seguimiento :)
Gracias de antemano y disculpas por ser novato.
Respuesta1
Si AAD te refieres a Azure AD, entonces no tienes nada de qué preocuparte. AD y AAD son dos sistemas completamente diferentes, utilizan una herramienta intermedia (conexión AD) para sincronizar datos entre ellos. Básicamente, sus controladores de dominio DNZ no sabrán nada sobre AAD.