我有一台 Windows 2008 服务器,连接到 OpenSolaris 机器上的 iSCSI 目标(太棒了 ZFS!)。我想在两台机器之间创建一个与我的 Windows 域完全独立的私有网络。
在 Windows 计算机上配置附加网络适配器的最佳方法是什么,以便它不认为新子网是 Windows 域的一部分?我想确保 Windows 不会神奇地开始通过专用线路喷出活动目录通信,并且不会开始使用来自专用网络的 IP 污染 DNS。
答案1
正确的做法是解除 Microsoft 协议与 iSCSI 接口的绑定。进入网络连接的属性,取消选中“Microsoft 网络客户端”和“Microsoft 网络文件和打印机共享”复选框。
前:
后:
答案2
按照 therulebookman 概述的步骤操作后,是否有可能在该特定接口上配置防火墙以过滤传出的活动目录流量?
答案3
最简单的方法可能是使用类似于集群服务器的“公共链接/专用链接”配置。公共链接将连接到您的 Windows 域,专用链接将连接到 NAS。在这种情况下,诀窍是使用与 Windows 域中使用的子网完全不同的 IP 地址配置专用链接。例如,如果您的 Windows 网络在 10.0.0.0 子网上运行,则您可能将 192.168.0.0 子网用于专用链接。您还希望在配置连接时使用最少的信息。您只需要 IP 地址和子网掩码。
您可以使用的另外两种方法是:
- 实施 IPSec 策略。
- 将持久路由添加到 Windows 路由表。
使用这两种方法中的任一种,您都可以指定任何发往 10.0.0.0 子网的流量都必须使用 10.xxx(在此处插入公共链接的实际 IP 地址),任何发往 192.168.0.0 子网的流量都必须使用 192.168.xx(在此处插入私有链接的实际 IP 地址)。如果您想确保额外的保障措施以防止交叉污染,可以将所有这些方法一起使用。
答案4
由于这个问题没有答案,我只能给出我记得的内容。看来 Windows 网络堆栈足够智能,可以通过了解哪个适配器在该子网上有 IP 地址来路由该流量。此外,您可以在属性下的 TCP/IP 设置下将专用连接的 DNS 留空。您还可以从那里进入高级设置并删除它搜索的域。这至少会优化数据流,我相信这就是我们从服务器 2003 到 Dell md3000i 的设置方式。我没有注意到流量监视器上有什么异常,并且那里有大量数据在运行。希望对您有所帮助。
Tim 提出了一个很好的观点,我忘了,那就是不要使用网关。换句话说,就像他说的,只需使用 IP 和子网掩码。但是 Windows 会自行填写其他内容,我也想删除这些内容。优化流量的另一件事是从 SAN 连接的连接属性中删除除“TCP/IP”之外的所有内容。