짧은 버전:Active Directory 2012 R2 도메인 컨트롤러가 특정 인터페이스에서 도메인을 광고하는 것을 어떻게 방지합니까? 해당 네트워크가 도메인 네트워크로 표시되지 않고 도메인 서비스를 사용할 수 없게 되기를 원합니다.
환경: 소규모 Hyper-V 클러스터 및 관련 VM을 관리하기 위한 독립형 AD입니다. 또한 DC는 VMM 서버를 실행하고 VMM 콘솔에 연결해야 하므로 프로덕션 네트워크에 액세스할 수 있습니다.
장기 목표/잠재적 솔루션:VMM 이외의 트래픽이 프로덕션 네트워크에 도달하지 못하도록 하고 싶습니다. Windows 방화벽을 사용하여 vmm이 아닌 모든 나가는 연결을 차단하는 것을 고려했지만 인터페이스에서 특정 프로필을 강제로 적용하는 방법을 모르겠습니다.
감사해요!
답변1
도메인 컨트롤러가 프로덕션 AD의 일부가 아니지만 대신 자체 AD를 관리하는 경우 프로덕션 도메인의 도메인 컨트롤러로 자신을 광고하지 않습니다. 물론 자신을 DNS 서버로 사용해야 합니다.말하다프로덕션 DNS 서버에.
또한 프로덕션 네트워크에 연결된 네트워크 인터페이스에서 "Microsoft 네트워크용 클라이언트" 및 "Microsoft 네트워크용 파일 및 프린터 공유"를 선택 취소하고 TCP에서 NetBIOS를 비활성화하여 프로덕션 네트워크에서 모든 Microsoft 네트워킹 프로토콜을 비활성화할 수 있습니다. 동일한 인터페이스의 /IP 속성 TCP/IP는 계속 작동하므로 서버에 RDP를 수행하고 VMM 콘솔에 연결할 수도 있지만 해당 인터페이스에서는 Windows 스타일 네트워킹이 발생하지 않습니다.
또한 프로덕션 네트워크 인터페이스에서 DNS 등록을 비활성화해야 합니다. 그렇지 않으면 내부 도메인 서비스에 대한 프로덕션 관련 IP 주소를 등록하는 DC에 의해 내부 DNS가 오염됩니다.