簡潔版本:如何防止 Active Directory 2012 R2 網域控制站在特定介面上通告網域?我希望該網路不被標記為網域網絡,並且不應有任何網域服務可用。
環境: 用於管理小型 Hyper-V 叢集和相關 VM 的獨立 AD。 DC 也運行 VMM 伺服器,並且由於需要存取 VMM 控制台而可以存取生產網路。
長期目標/潛在解決方案:我希望絕對沒有非 VMM 流量到達生產網路。我考慮過僅阻止與 Windows 防火牆的所有非 vmm 傳出連接,但我不知道如何在介面上強制使用特定設定檔。
謝謝!
答案1
如果網域控制站不是您的生產 AD 的一部分,而是管理自己的網域控制器,則它不會將自己宣傳為您的生產網域的網域控制站。它當然應該使用自己作為 DNS 伺服器,因此它甚至不會演講到您的生產 DNS 伺服器。
此外,您可以透過在連接到生產網路的網路介面上取消選取“Microsoft 網路用戶端”和“Microsoft 網路檔案和印表機共用”,以及停用 TCP 上的 NetBIOS,來停用生產網路上的所有 Microsoft 網路協定。 /同一介面的IP屬性; TCP/IP 將保持運行,因此您將能夠透過 RDP 連接到伺服器,甚至連接到 VMM 控制台,但該介面上不會發生 Windows 風格的網路。
您還應該在生產網路介面上停用 DNS 註冊,否則您的內部 DNS 將受到 DC 為內部網域服務註冊其面向生產的 IP 位址的污染。