Eu tenho o host Win2008 R2 HyperV com um adaptador físico executando várias VMs. Tenho uma sub-rede de endereços IP externos: xxx208/255.255.255.240
Eu costumava ter a seguinte configuração:
o sistema operacional host teria funções AD DC, HyperV, RRAS, DHCP e DNS. O adaptador físico teria todos os endereços IP disponíveis atribuídos explicitamente:
xxx210 / 255.255.255.240
...
xxx221 / 255.255.255.240
A rede HyperV teria uma rede externa criada - mas com a opção "Permitir que o sistema operacional de gerenciamento compartilhe o adaptador" ativada - desta forma eu poderia atribuir IP público ao sistema operacional host também:
O HyperV criou outro adaptador de rede que usei para LAN interna (192.168.2.0/255). O RRAS foi configurado para roteamento NAT e LAN e faz NAT para convidados da seguinte maneira:
xxx210 -> 192.168.2.10, Permitir sessões de entrada = SIM
...
xxx221 -> 192.168.2.21, Permitir sessões de entrada = SIM
Então, basicamente, todas as VMs convidadas não tinham endereço IP externo - mas para elas isso não importava - elas ainda tinham acesso à Internet e eram acessíveis de fora.
então começamos a ter problemas com RRAS, VPN, etc, etc - então fiz algumas leituras e li que o esquema NAT não é bom ( could someone comment on this btw?) e devo virtualizar o adaptador físico para fornecer acesso direto às VMs convidadas à rede externa. Tudo bem, eu fiz isso.
Aqui está a configuração atual:
Removi "Permitir que o sistema operacional de gerenciamento compartilhe o adaptador" do adaptador externo e adicionei uma segunda rede interna ao HyperV.
Então tive que adicionar um segundo adaptador de rede a cada VM convidada - e então definir explicitamente o endereço IP público para cada um. Isso foi feito e funciona bem. A função RRAS foi removida do host.
questões:
Eu fiz a coisa certa? Meu sentimento interior diz que sim - já que aqui temos menos "partes" (ou pelo menos parece), mas eu só quero obter algumas opiniões confiáveis.
Algum problema que eu deva estar ciente com a configuração atual versus a antiga? Alguma prática recomendada que devo seguir depois de configurar a rede conforme descrito acima?
Provavelmente, a pergunta mais importante para mim. Em ambos os cenários, o firewall está em execução na VM convidada e nada mudou após a troca. E meu entendimento foi que o NAT não faz nenhuma filtragem de tráfego - tudo vai direto para o convidado. NO ENTANTO, logo após a troca, começo a receber os seguintes erros no log (em nosso servidor Exchange VM):
Falha na autenticação de entrada com erro LogonDenied para conector de recebimento Default EXCHANGE. O mecanismo de autenticação é Ntlm. O endereço IP de origem do cliente que tentou autenticar no Microsoft Exchange é [200.195.42.7].
isso meio que implica para mim que na nova configuração a VM ficou "mais" exposta a ameaças externas - mas eu simplesmente não entendo por que esse não foi o caso no cenário NATed? Eu verifiquei - não há NENHUM erro como esse antes da troca. Por que estou recebendo esses erros agora? o que mudou do ponto de vista da rede?