Eu perguntei originalmenteessepergunta sobre estouro de pilha e foi referida aqui.
Usando o Hyper-V, construí um domínio privado do Windows que é isolado de nossa rede principal. Em última análise, quero provisionar este domínio para que outros possam usá-lo para desenvolvimento e teste, para que possam ser administradores do domínio.
Meu problema é o seguinte: o controlador de domínio está com o serviço DHCP em execução. Se alguém implantar o domínio em seu host Hyper-V e conectá-lo por engano à rede principal, o serviço DHCP começará a atribuir configurações IP incorretas.
Eu gostaria de evitar esta situação. Pensei em escrever um serviço para encerrardhcploc, esse serviço interromperia o serviço DHCP local se um servidor DHCP remoto pudesse ser encontrado. Esta é realmente uma limitação de danos, já que o servidor DHCP não autorizado ainda teria uma pequena janela de oportunidade.
Existe uma alternativa melhor/mais simples que atinja o objetivo? Há alguma advertência que eu deva estar ciente?
Obrigado
Responder1
Dado que sua configuração de teste DHCP usa endereços MAC para atribuir IPs regulares, você pode limitar o escopo para incluir apenas os endereços MAC conhecidos. Dessa forma, mesmo que alguém o coloque acidentalmente na rede principal, ele não distribuirá nenhum IP porque nenhuma das solicitações corresponde a nenhum dos MACs em seu escopo. No que diz respeito a possíveis problemas de colocar um controlador de teste em sua rede principal, isso depende de algumas coisas:
1) Esperamos que você esteja usando uma sub-rede separada para a rede de teste da rede principal. Ex. rede de teste = 172.16.0.0 e rede principal = 10.0.0.0. Isso limitará o acesso dos DCs de teste a itens da rede principal, desde que não consiga chegar a um roteador que esteja ciente de ambas as sub-redes e esteja configurado para rotear entre elas. 2) Como foi criado o DC de teste? Se ele fosse conectado primeiro à rede principal para obter dados do AD por meio de replicação e depois fosse removido e colocado no ambiente de teste, ele ainda saberia sobre os outros DCs na rede principal e tentaria replicar de/para eles assim que surgisse. Isso é muito ruim por razões óbvias... Se ele foi criado no ambiente de teste e possui um nome de domínio exclusivo separado do nome de domínio principal, você está pronto para prosseguir.
O que eu quis dizer com "problemas maiores" é que se as pessoas estão colocando DCs na rede principal acidentalmente, então alguém deveria lhes dar algum treinamento sobre como usar o Hyper-V, em vez de tentar limitar os danos, caso isso aconteça! Eu ficaria muito nervoso se o pessoal do DEV brincasse com DCs (teste ou não) em minha rede de produção... Você poderia separar ainda mais suas estações de trabalho Hyper-V em uma sub-rede completamente diferente da rede principal?
Responder2
Quando você diz "cercado", o que exatamente você quer dizer?
Se você tiver dois servidores DHCP na mesma sub-rede, você terá algumas solicitações indo para um servidor DHCP e outras indo para o outro e, é claro, conflitos se ambos os servidores fornecerem IPs do mesmo pool.
Para a situação que você descreveu, eu criaria uma sub-rede roteada para o seu servidor "cercado" e usaria uma VLAN para isolar a sub-rede ou você poderia usar outro switch barato para uma separação mais física.
Seu servidor DHCP do Windows pode ser multihomed (conectado a duas ou mais redes). Com duas placas de rede, você conecta uma placa à sua rede de produção e conecta a outra placa a um switch de rede separado ou a uma VLAN separada, permitindo que um servidor atue como um servidor DHCP para ambas as redes. Ou, de acordo com sua pergunta original, você não precisaria fazer isso se quiser continuar operando dois servidores DHCP.
Em seguida, no switch ou VLAN protegido, você cria uma sub-rede diferente da sua rede de produção. Por exemplo:
Switch/VLAN de produção: 172.16.0.0/16 Switch/VLAN de desenvolvimento: 172.17.0.0/16
O servidor DHCP de produção pode usar um escopo de 172.16.1.1 - 172.16.1.200 O servidor DHCP de desenvolvimento pode usar um escopo de 172.17.1.1 - 172.17.1.200
No escopo DHCP de produção, você poderia distribuir uma rota estática para Desenvolvimento e no escopo DHCP de desenvolvimento, você poderia distribuir uma rota estática para Produção....
Você pode precisar de algum roteamento entre os dois se, por exemplo, sua área de Desenvolvimento precisar de acesso à Internet e a Internet for acessível somente através da rede de Produção.
Responder3
A coisa mais fácil de fazer é não ter DHCP. O domínio virtual privado é tão grande que você não consegue gerenciar os endereços IP usando IPs estáticos? Em segundo lugar, você terá problemas maiores se as pessoas estiverem conectando DCs à sua rede principal, que deveriam ser apenas para testes. Ainda não usei o Hyper-V, mas pelo menos no VMWare você pode atribuir permissões bastante granulares que impediriam um usuário de anexar a VM a uma rede diferente ou alterar sua configuração de rede.