我们目前正在寻求稍微简化我们的 AD 结构以使事情变得更易于管理,但我们仍然希望尽可能保持我们的安全态势接近现在的水平。
目前,我们拥有由防火墙隔离的 AD 林岛,并且所有林之间都无法互相通信,除了出于 DR 目的而进行的异地复制的少数例外情况。
我们希望转向具有根域和不超过两个其他域的单一 AD 林设计。
问题是,保护穿过防火墙边界的 DC 到 DC 流量的最佳方法是什么?
关键在于,我们目前的做法是,不允许任何较低安全区域向较高安全区域发起入站流量(无入口),因此,只有当较高安全区域中的 DC 想要与较低安全区域中的 DC 通信时,DC 之间的双向通信才会发生(仅限出站发起的流量)。
我知道使用站点我们可以控制复制,因此它仅以单向启动,但我想确保这可以控制两个 DC 之间流量所需的所有端口的流量。
我还知道我们可以使用 IPSEC 隧道来限制防火墙上需要打开的端口,并使隧道未加密,以便 IDS/IPS 仍然可以分析流量。
鉴于此,我想知道你们对如何最好地做到这一点有什么想法。我非常怀疑我们是不是你们支持的唯一一个有这些要求的组织。
答案1
几年前,我在一个项目中遇到过类似的需求。公认的解决方案是将 DC 放在较低级别的区域(一种 DMZ)。然后我们限制活动目录复制使用的端口,为这些端口设置 IPSEC 策略,并和其他港口当与较高级别域中的 DC 的一些预定义 IP 地址进行通信时。较低域中的客户端必须通过透明防火墙才能与 DMZ 中的 DC 进行通信。
跳出固有的思维模式思考一下 - 您是否可以在较低域上设置一个 VPN 服务器,只有较高域的 DC 才能连接到该服务器?也就是说,较高级别的 DC 将是 VPN 客户端。您可以使用未加密的传输来满足您的 IDS/IPS 要求。一旦较高级别的 DC 连接,就可以建立双向通信,AD 就可以照常运行。或者这就是封装问题?!:)