Versão curta:Como você evita que um controlador de domínio do Active Directory 2012 R2 anuncie o domínio em uma interface específica? Quero que essa rede não seja sinalizada como uma rede de domínio e que nenhum serviço de domínio esteja disponível.
Ambiente: Um AD independente para gerenciar um pequeno cluster Hyper-V e as VMs relacionadas. O DC também executa o servidor VMM e tem acesso à rede de produção devido à necessidade de acessar o console do VMM.
Objetivo de longo prazo/solução potencial:Eu gostaria que absolutamente nenhum tráfego não-VMM chegasse à rede de produção. Considerei apenas bloquear todas as conexões de saída não-vmm com o Firewall do Windows, mas não sei como forçar um perfil específico em uma interface.
Obrigado!
Responder1
Se o controlador de domínio não fizer parte do seu AD de produção, mas gerenciar seu próprio AD, ele não se anunciará como controlador de domínio para seu(s) domínio(s) de produção. É claro que deveria usar-se como seu servidor DNS, portanto nem sequerfalarpara seus servidores DNS de produção.
Além disso, você pode desabilitar todos os protocolos de rede Microsoft na rede de produção desmarcando "Cliente para redes Microsoft" e "Compartilhamento de arquivos e impressoras para redes Microsoft" na interface de rede conectada à sua rede de produção, e também desabilitando NetBIOS no TCP Propriedades /IP da mesma interface; O TCP/IP permanecerá operacional e, portanto, você poderá fazer RDP no servidor e até mesmo conectar-se ao console do VMM, mas nenhuma rede estilo Windows ocorrerá nessa interface.
Você também deve desabilitar o registro de DNS na interface de rede de produção, ou seu DNS interno será poluído pelo DC registrando seu endereço IP voltado para produção para serviços de domínio interno.