У меня есть хост Win2008 R2 HyperV с одним физическим адаптером, на котором запущено несколько виртуальных машин. У меня есть подсеть внешних IP-адресов: xxx208 / 255.255.255.240
Раньше у меня была следующая установка:
Хостовая ОС будет иметь роли AD DC, HyperV, RRAS, DHCP и DNS. Физическому адаптеру будут назначены все доступные IP-адреса явно:
xxx210 / 255.255.255.240
...
xxx221 / 255.255.255.240
В сети HyperV будет создана одна внешняя сеть, но с включенной опцией «Разрешить управляющей ОС совместно использовать адаптер» — таким образом я смогу назначить публичный IP-адрес и хостовой ОС:
HyperV создал еще один сетевой адаптер, который я использовал для внутренней локальной сети (192.168.2.0 / 255). RRAS был настроен на NAT и маршрутизацию локальной сети и выполняет NAT для гостей следующим образом:
xxx210 -> 192.168.2.10, Разрешить входящие сеансы = ДА
...
xxx221 -> 192.168.2.21, Разрешить входящие сеансы = ДА
Таким образом, по сути, все гостевые виртуальные машины не имели внешнего IP-адреса, но для них это не имело значения — они все равно имели доступ к Интернету и были доступны извне.
затем у нас начались проблемы с RRAS, VPN и т. д. и т. п. - поэтому я немного почитал и узнал, что схема NAT не очень хороша ( could someone comment on this btw?) и мне следует виртуализировать физический адаптер, чтобы предоставить гостевым виртуальным машинам прямой доступ к внешней сети. Хорошо, я сделал это.
Вот текущая настройка:
Я удалил «Разрешить управляющей ОС совместно использовать адаптер» с внешнего адаптера и добавил вторую внутреннюю сеть в HyperV.
Затем мне пришлось добавить второй сетевой адаптер к каждой гостевой виртуальной машине, а затем явно задать публичный IP-адрес для каждой из них. Это было сделано и работает отлично. Роль RRAS была удалена с хоста.
вопросы:
Правильно ли я поступил? Мое внутреннее чувство говорит да - поскольку здесь у нас меньше "частей" (или по крайней мере так выглядит), но я просто хочу получить авторитетные мнения.
Какие проблемы мне следует знать о текущей настройке по сравнению со старой? Какие рекомендации мне следует выполнить после настройки сети, как описано выше?
Наверное, самый важный вопрос для меня. В обоих сценариях брандмауэр запущен на гостевой ВМ, и ничего не изменилось после переключения. И я понял, что NAT не делает никакой фильтрации трафика - все идет напрямую в гостевую. ОДНАКО сразу после переключения я начинаю получать следующие ошибки в журнале (на нашем сервере Exchange VM):
Входящая аутентификация не удалась с ошибкой LogonDenied для коннектора получения Default EXCHANGE. Механизм аутентификации — Ntlm. Исходный IP-адрес клиента, который пытался пройти аутентификацию в Microsoft Exchange, — [200.195.42.7].
это как бы подразумевает, что в новой настройке VM стала "более" подверженной внешней угрозе - но я просто не понимаю, почему это не относится к сценарию NAT? Я проверил - до переключения НЕТ таких ошибок. Почему я получаю такие ошибки сейчас? что изменилось с точки зрения сети?