简洁版本:如何防止 Active Directory 2012 R2 域控制器在特定接口上宣传域?我希望该网络不被标记为域网络,并且不应提供任何域服务。
环境: 用于管理小型 Hyper-V 集群和相关 VM 的独立 AD。DC 还运行 VMM 服务器并可以访问生产网络,因为需要访问 VMM 控制台。
长期目标/潜在解决方案:我希望绝对没有非 VMM 流量到达生产网络。我曾考虑过使用 Windows 防火墙阻止所有非 VMM 传出连接,但我不知道如何在接口上强制使用特定配置文件。
谢谢!
答案1
如果域控制器不是生产 AD 的一部分,而是管理自己的 AD,则它不会将自己宣传为生产域的域控制器。它当然应该将自己用作 DNS 服务器,因此它甚至不会讲话到您的生产 DNS 服务器。
此外,您可以通过取消选中连接到生产网络的网络接口上的“Microsoft 网络客户端”和“Microsoft 网络文件和打印机共享”来禁用生产网络上的所有 Microsoft 网络协议,也可以通过禁用同一接口的 TCP/IP 属性上的 NetBIOS;TCP/IP 将保持运行,因此您将能够通过 RDP 进入服务器,甚至连接到 VMM 控制台,但该接口上不会进行任何 Windows 风格的网络。
您还应该禁用生产网络接口上的 DNS 注册,否则您的内部 DNS 将会受到 DC 为内部域服务注册其面向生产的 IP 地址的污染。