简短版:如何防止 Active Directory 2012 R2 域控制器在特定界面上通告域?我希望该网络不被标记为域网络,并且应该没有域服务可用。
环境: 用于管理小型 hyper-v 集群和相关 VM 的独立 AD。DC 还运行 VMM 服务器并可以访问生产网络,因为需要访问 VMM 控制台。
长期目标/潜在解决方案:我希望绝对没有非 VMM 流量到达生产网络。我考虑过只是阻止与 Windows 防火墙的所有非 vmm 传出连接,但我不知道如何在接口上强制使用特定的配置文件。
谢谢!
AskOverflow.Dev
如果域控制器不是生产 AD 的一部分,而是管理自己的 AD,则它不会将自己宣传为生产域的域控制器。它当然应该将自己用作其 DNS 服务器,因此它甚至不会与您的生产 DNS 服务器通信。
此外,您可以通过取消选中连接到生产网络的网络接口上的“Microsoft 网络客户端”和“Microsoft 网络的文件和打印机共享”以及禁用 TCP 上的 NetBIOS,来禁用生产网络上的所有 Microsoft 网络协议/IP 同一接口的属性;TCP/IP 将保持运行,因此您将能够 RDP 进入服务器,甚至连接到 VMM 控制台,但不会在该接口上进行 Windows 样式的网络连接。
您还应该在生产网络接口上禁用 DNS 注册,否则您的内部 DNS 将被 DC 为内部域服务注册其面向生产的 IP 地址而污染。