Windows Server 2019 como um roteador NAT

O Windows Server tecnicamente pode rotear e NAT, e de fato as versões 'cliente' (Windows 10/11) até mesmo o têm configurado por padrão para o switch Hyper-V usado pelo WSL2 – sem mencionar o ICS (uma implementação NAT mais antiga) que existe há décadas. Mas, até onde eu sei, ele não é um bom roteador.

Por exemplo, seu firewall parece ser muito orientado para entrada/saída local, e não sei se você pode configurá-lo para filtrar tráfego de sub-rede cruzada encaminhado. Em geral, também não é a melhor ideia fazer seus controladores de domínio fazerem tarefas não relacionadas a DC – eu preferiria ter o Hyper-V e uma VM somente DC de qualquer maneira, para torná-lo mais à prova do futuro.

Então, se você quiser múltiplas VLANs, então seria melhor usar uma VM de roteador dedicada (baseada em Linux ou BSD; por exemplo, pfSense/OpnSense são sistemas de roteadores populares baseados em BSD). Ou, idealmente, um roteador físico inteiro – por exemplo, aqueles que executam OpenWrt ou Mikrotik RouterOS devem ser suficientemente capazes.

(Pelo que me lembro, as ferramentas de gerenciamento da interface gráfica do usuário do Hyper-V não expõem o modo "tronco" para VMs, mas ele está disponível por meio do PowerShell.)

O Active Directory não exige estritamente DHCP. Seu principal requisito é que todos os clientes devem ser capazes de resolver os nomes de domínio hospedados no DNS do AD (pois eles dizem aos clientes onde encontrar o controlador de domínio). Então, se você usar o DHCP do seu roteador existente para o endereço IP, mas definir manualmente todos os PCs para usar o DC do AD como seu único servidor DNS, isso seria "bom o suficiente" para o AD, embora tedioso de gerenciar a longo prazo.