Укороченная версия:Как запретить контроллеру домена Active Directory 2012 R2 рекламировать домен на определенном интерфейсе? Я хочу, чтобы эта сеть не была отмечена как доменная сеть, и никакие доменные службы не должны быть доступны.
Среда: Автономный AD для управления небольшим кластером Hyper-V и связанными с ним виртуальными машинами. DC также запускает сервер VMM и имеет доступ к производственной сети из-за необходимости доступа к консоли VMM.
Долгосрочная цель/Потенциальное решение:Я бы хотел, чтобы в производственную сеть не попадал абсолютно никакой не-VMM-трафик. Я рассматривал возможность просто заблокировать все не-VMM-исходящие соединения с помощью брандмауэра Windows, но не знаю, как принудительно задать определенный профиль на интерфейсе.
Спасибо!
решение1
Если контроллер домена не является частью вашего производственного AD, а вместо этого управляет своим собственным, он не будет рекламировать себя как контроллер домена для вашего производственного домена(ов). Он, конечно, должен использовать себя в качестве своего DNS-сервера, поэтому он даже не будетразговариватьна ваши производственные DNS-серверы.
Кроме того, вы можете отключить все сетевые протоколы Microsoft в производственной сети, сняв флажки «Клиент для сетей Microsoft» и «Общий доступ к файлам и принтерам для сетей Microsoft» на сетевом интерфейсе, подключенном к вашей производственной сети, а также отключив NetBIOS в свойствах TCP/IP того же интерфейса; TCP/IP останется работоспособным, и вы, таким образом, сможете подключиться к серверу по протоколу RDP и даже к консоли VMM, но на этом интерфейсе не будет работать сетевое взаимодействие в стиле Windows.
Вам также следует отключить регистрацию DNS на интерфейсе рабочей сети, иначе ваш внутренний DNS будет загрязнен из-за регистрации контроллером домена своего рабочего IP-адреса для внутренних доменных служб.