我最初問的是這關於堆疊溢位的問題並在此處引用。
我使用 Hyper-V 建置了一個與我們的主網路隔離的私人 Windows 網域。最終,我想將此網域提供給其他人用於開發和測試,以便他們可以成為網域管理員。
我的問題是:網域控制器正在執行 DHCP 服務。如果有人將網域部署到其 Hyper-V 主機並錯誤地將其連接到主網絡,則 DHCP 服務將開始指派錯誤的 IP 配置。
我想防止這種情況發生。我考慮寫一個服務來包裝dhcploc,如果可以找到遠端 DHCP 伺服器,該服務將停止本機 DHCP 服務。這確實是損害限制,因為流氓 DHCP 伺服器仍然有一個很小的機會視窗。
是否有更好/更簡單的替代方案可以實現目標?有什麼我應該注意的注意事項嗎?
謝謝
答案1
鑑於您的測試 DHCP 設定使用 MAC 位址來指派常規 IP,您可以將範圍限制為僅包含已知的 MAC 位址。這樣,即使有人意外地將其放到主網路上,它也不會分發任何 IP,因為沒有任何請求與其範圍內的任何 MAC 相符。至於在主網路上放置測試 DC 的潛在問題,這取決於以下幾個因素:
1) 希望您為測試網路使用與主網路不同的子網路。前任。測試網 = 172.16.0.0,主網 = 10.0.0.0。這將限制測試 DC 對主網路上內容的訪問,只要它無法到達了解兩個子網路並設定為在它們之間路由的路由器。 2)測試DC是如何創建的?如果它首先連接到主網路以透過複製來獲取 AD 數據,然後將其移除並放入測試環境中,它仍然會了解主網路上的其他 DC,並在出現後嘗試與它們進行複製。由於顯而易見的原因,這非常糟糕......如果它是在測試環境中創建的並且具有與主域名分開的唯一域名,那麼您就可以開始了。
我所說的「更大的問題」的意思是,如果人們意外地將DC 放到主網絡上,那麼應該有人為他們提供一些有關使用Hyper-V 的培訓,而不是試圖限制萬一他們這樣做造成的損害!如果我讓開發人員在我的生產網路周圍使用 DC(測試與否),我會非常緊張...您能否將他們的 Hyper-V 工作站與主網路完全隔離在不同的子網路上?
答案2
當你說「被圍起來」時,你到底是什麼意思?
如果同一子網路上有兩台DHCP 伺服器,那麼您將有一些請求發送到一台DHCP 伺服器,而一些請求發送到另一台,當然,如果兩台伺服器都提供來自同一池的IP,則會發生衝突。
對於您描述的情況,我會為您的「隔離」伺服器建立路由子網,並使用 VLAN 來隔離該子網,或者您可以使用另一個便宜的交換器進行更多的實體隔離。
您的 Windows DHCP 伺服器可以是多宿主的(連接到兩個或更多網路)。使用兩個網卡,您可以將一張卡連接到生產網絡,將另一張卡連接到單獨的網路交換器或單獨的 VLAN,從而允許一台伺服器充當兩個網路的 DHCP 伺服器。或者,根據您最初的問題,如果您想繼續運行兩個 DHCP 伺服器,則無需執行此操作。
然後,在隔離的交換器或 VLAN 上,您會建立一個與生產網路不同的子網路。例如:
生產交換器/VLAN:172.16.0.0/16 開發交換器/VLAN:172.17.0.0/16
生產 DHCP 伺服器可以使用 172.16.1.1 - 172.16.1.200 範圍 開發 DHCP 伺服器可以使用 172.17.1.1 - 172.17.1.200 範圍
在生產 DHCP 範圍中,您可以向開發分發靜態路由,在開發 DHCP 範圍中,您可以向生產分發靜態路由...
例如,如果您的開發區域需要 Internet 訪問,而 Internet 只能透過生產網路訪問,則您可能需要在兩者之間進行一些路由。
答案3
最簡單的方法就是根本沒有 DHCP。私有虛擬域是否太大以至於無法使用靜態 IP 管理 IP 位址?其次,如果人們將 DC 連接到僅用於測試的主網絡,則會遇到更大的問題。我還沒有使用過 Hyper-V,但在 VMWare 中至少可以分配相當精細的權限,以防止用戶將虛擬機器連接到不同的網路或更改其網路配置。