DHCP 서버를 포함하는 가상화된 도메인을 안전하게 배포/호스팅

테스트 DHCP 구성이 MAC 주소를 사용하여 일반 IP를 할당하는 경우 알려진 MAC 주소만 포함하도록 범위를 제한할 수 있습니다. 이렇게 하면 누군가가 실수로 이를 메인 네트워크에 배치하더라도 해당 범위의 MAC과 일치하는 요청이 없기 때문에 IP를 전달하지 않습니다. 메인 네트워크에 테스트 DC를 배치하는 데 따른 잠재적인 문제는 다음과 같은 몇 가지 사항에 따라 달라집니다.

1) 테스트 네트워크에는 기본 네트워크가 아닌 별도의 서브넷을 사용하시기 바랍니다. 전. 테스트 넷 = 172.16.0.0, 메인 넷 = 10.0.0.0. 이렇게 하면 두 서브넷을 모두 인식하고 서브넷 간에 라우팅하도록 설정된 라우터에 도달할 수 없는 한 테스트 DC의 기본 네트워크에 대한 액세스가 제한됩니다. 2) 테스트 DC는 어떻게 만들어졌나요? 복제를 통해 AD 데이터를 가져오기 위해 먼저 기본 네트워크에 연결한 다음 제거하고 테스트 환경에 넣는 경우에도 여전히 기본 네트워크의 다른 DC에 대해 알고 있으며 일단 나타나면 복제를 시도합니다. 이는 명백한 이유로 인해 매우 나쁩니다. 테스트 환경 내에서 생성되었으며 기본 도메인 이름과 별도의 고유한 도메인 이름이 있으면 그대로 사용하는 것이 좋습니다.

"더 큰 문제"가 의미하는 바는 사람들이 우연히 메인 네트워크에 DC를 배치하는 경우 피해를 제한하기보다는 누군가 Hyper-V 사용에 대한 교육을 제공해야 한다는 것입니다. 내 프로덕션 네트워크 주변에서 DC(테스트 여부와 상관없이)를 가지고 플레이하는 DEV 직원이 있다면 매우 불안할 것입니다. Hyper-V 워크스테이션을 기본 네트워크와 완전히 다른 서브넷에서 더 많이 분리할 수 있습니까?

"울타리를 쳤다"고 말하면 정확히 무엇을 의미합니까?

동일한 서브넷에 두 개의 DHCP 서버가 있는 경우 일부 요청은 한 DHCP 서버로 가고 일부는 다른 DHCP 서버로 이동하게 되며 두 서버가 모두 동일한 풀에서 IP를 제공하는 경우 충돌이 발생합니다.

설명하신 상황에서는 "차단된" 서버에 대해 라우팅된 서브넷을 만들고 VLAN을 사용하여 서브넷을 격리하거나 보다 물리적인 분리를 위해 다른 저렴한 스위치를 사용할 수 있습니다.

Windows DHCP 서버는 멀티홈(두 개 이상의 네트워크에 연결)이 가능합니다. 두 개의 네트워크 카드를 사용하면 한 카드를 프로덕션 네트워크에 케이블로 연결하고 다른 카드를 별도의 네트워크 스위치 또는 별도의 VLAN에 연결하여 한 서버가 두 네트워크 모두에 대해 DHCP 서버 역할을 할 수 있도록 합니다. 또는 원래 질문에 따라 두 개의 DHCP 서버를 계속 작동하려는 경우 이 작업을 수행할 필요가 없습니다.

그런 다음 차단된 스위치 또는 VLAN에서 프로덕션 네트워크와 다른 서브넷을 생성합니다. 예를 들어:

프로덕션 스위치/VLAN: 172.16.0.0/16 개발 스위치/VLAN: 172.17.0.0/16

프로덕션 DHCP 서버는 172.16.1.1 - 172.16.1.200 범위를 사용할 수 있습니다. 개발 DHCP 서버는 172.17.1.1 - 172.17.1.200 범위를 사용할 수 있습니다.

프로덕션 DHCP 범위에서는 개발에 고정 경로를 전달할 수 있고 개발 DHCP 범위에서는 프로덕션에 고정 경로를 전달할 수 있습니다....

예를 들어, 개발 영역에 인터넷 액세스가 필요하고 프로덕션 네트워크를 통해서만 인터넷에 액세스할 수 있는 경우 둘 사이에 일부 라우팅이 필요할 수 있습니다.

가장 쉬운 방법은 DHCP가 전혀 없는 것입니다. 고정IP로는 IP주소를 관리할 수 없을 정도로 프라이빗 가상도메인이 큰가요? 둘째, 사람들이 테스트 목적으로만 사용되는 기본 네트워크에 DC를 연결하는 경우 더 큰 문제가 발생합니다. 저는 아직 Hyper-V를 사용해 본 적이 없지만 최소한 VMWare에서는 사용자가 VM을 다른 네트워크에 연결하거나 네트워크 구성을 변경하는 것을 방지하는 매우 세분화된 권한을 할당할 수 있습니다.