我有一台 Windows Server 2019 伺服器,它本身運行一些服務,以及帶有 Windows 和 Linux 用戶端的 Hyper-V 虛擬機器。
為了集中用戶和機器管理,我進行了設置活動目錄域服務,域名系統, 和文件與儲存主機系統上的服務。我已將各種虛擬機器加入 AD 網域,並從單點控制使用者和(虛擬)機原則。
從孤立的角度來看,這工作得很好。
更大的圖景是,所有服務(AD DS、DNS、檔案和儲存)都綁定到所有內容(任何介面)。我很快意識到這一點,並禁用(或更改)服務的防火牆規則以僅匹配內部接口,我希望服務開啟。
然而,在每晚重新啟動(安裝修補程式等)之後,AD DS、DNS、檔案和儲存新增的部分/大部分防火牆規則被重新啟用並變更為預設狀態(任何介面)。
如何配置 AD DS、DNS 以及文件和存儲服務以僅綁定到指定的內部接口,或者如何強制更改防火牆規則,以便“它們”(服務)在每次伺服器重新啟動後不會覆蓋它?
答案1
不要在一個 Windows Server 執行個體中混合使用 AD、Hyper-V 和檔案伺服器。只需在裸機上安裝 Hyper-V 並為 AD 和檔案伺服器角色部署單獨的 Windows 虛擬機器即可。虛擬交換器可讓您隔離每個角色的網路介面。
以下是在同一台伺服器上組合 Hyper-V 和 AD 角色的說明: https://www.hyper-v.io/combining-hyper-v-dc-role-server-bad-idea/