Мы устанавливаем доверительные отношения между автономным локальным доменом (с этого момента DMZ) и корпоративным доменом, который является AD/AAD (синхронизированным) (с этого момента CORP), чтобы пользователи из CORP могли входить на серверы, присоединенные к DMZ. Для ясности: они находятся в разных лесах.
Я намерен создать внешнее, нетранзитивное доверие от DMZ до CORP.
Итак, дело в том, что домен CORP имеет два локальных контроллера домена и два контроллера домена в качестве виртуальных машин в Azure... Я бы хотел избежать необходимости добавлять два правила брандмауэра (одно для локальных контроллеров домена, одно для контроллеров домена Azure). Как я могу ограничить любой трафик AD из DMZ в CORP, чтобы он попадал только на локальные контроллеры домена CORP, или это будет нежелательно по каким-либо причинам, помимо избыточности?
Я предполагаю, что это будет связано с конфигурацией CORP AD в разделе «Сайты и службы», в таком случае у меня может возникнуть несколько дополнительных вопросов :)
Заранее спасибо и извиняюсь за нубизм.
решение1
Если AAD вы имеете в виду Azure AD, то вам не о чем беспокоиться. AD и AAD — это две совершенно разные системы, они используют промежуточный инструмент (AD connect) для синхронизации данных между собой. По сути, ваши контроллеры домена DNZ ничего не будут знать об AAD.