我有一个 Windows 2008 服务器连接到 OpenSolaris 机器上的 iSCSI 目标(是的 ZFS!)。我想在完全独立于我的 Windows 域的 2 个盒子之间创建一个专用网络。
在 Windows 机器上配置附加网络适配器使其不认为新子网是 Windows 域的一部分的最佳方法是什么?我想确保 Windows 不会神奇地开始通过专用线路发送活动目录通信,并且不会开始使用来自专用网络的 IP 毒害 DNS。
AskOverflow.Dev
我有一个 Windows 2008 服务器连接到 OpenSolaris 机器上的 iSCSI 目标(是的 ZFS!)。我想在完全独立于我的 Windows 域的 2 个盒子之间创建一个专用网络。
在 Windows 机器上配置附加网络适配器使其不认为新子网是 Windows 域的一部分的最佳方法是什么?我想确保 Windows 不会神奇地开始通过专用线路发送活动目录通信,并且不会开始使用来自专用网络的 IP 毒害 DNS。
实现此目的的正确方法是解除 Microsoft 协议与 iSCSI 接口的绑定。转到网络连接的属性并取消选中“Microsoft 网络客户端”和“Microsoft 网络的文件和打印机共享”复选框。
前:
后:
由于这有零答案,我会给出我记得的。似乎 Windows 网络堆栈足够聪明,可以通过知道哪个适配器在该子网上具有 IP 地址来路由该流量。此外,您可以在属性下的 TCP/IP 设置下将专用连接上的 DNS 留空。您也可以从那里进入高级并删除它搜索的域。这至少会优化数据流,我相信这就是我们从服务器 2003 到戴尔 md3000i 的设置方式。我没有注意到交通监视器上有任何疯狂的东西,并且有大量数据通过那里运行。希望有帮助。
蒂姆提出了一个很好的观点,我忘记了这是离开网关。所以换句话说,就像他说的那样,只需使用 IP 和子网掩码。但是windows自己填充了一些其他的东西,我也喜欢摆脱那些东西。优化流量可以做的另一件事是从 SAN 连接上的连接属性中删除除“TCP/IP”之外的所有内容。
在采取规则手册人概述的步骤后,是否可以在该特定接口上配置防火墙以过滤传出的活动目录流量?
可能最简单的方法是使用类似于集群服务器的“公共链接/私有链接”配置。公共链接将连接到您的 Windows 域,而私有链接将连接到 NAS。在这种情况下,诀窍是使用与 Windows 域中使用的子网完全不同的 IP 地址配置专用链接。例如,如果您的 Windows 网络在 10.0.0.0 子网上运行,则您可以将 192.168.0.0 子网用于专用链接。您还希望在配置连接时使用最少的信息量。您应该只需要 IP 地址和子网掩码。
您可以使用的另外两种方法是:
使用这两种方法中的任何一种,您都可以指定任何发往 10.0.0.0 子网的流量必须使用 10.xxx(在此处插入公共链接的实际 IP 地址),任何发往 192.168.0.0 子网的流量必须使用 192.168.xx (在此处插入私有链接的实际 IP 地址)。如果您想确保额外的保护措施来防止交叉污染,所有这些方法都可以一起使用。
很多这些步骤都会有点矫枉过正!
根据我自己的经验,我需要做的就是隔离第二个 (SAN) NIC 的默认网关。Windows Server 2008 足够智能,可以识别“域”网络并相应地路由所有域流量。如果你看网卡状态,当WS2K8在做的时候,域网卡实际上会显示域网络的DN。您的 SAN NIC 会显示“未识别”。