我是一名新手,正在尝试基本网络和 Active Directory。我已成功设置了带有 AD DS 的 Windows Server。Windows Server 运行 DHCP、DNS 等。
但是,对于我的 ISP 提供的调制解调器/路由器,我认为我应该将其设置为桥接模式,因为 Windows Server 将处理路由。这种想法是否不正确?我是否应该保持 ISP 提供的调制解调器/路由器未桥接并禁用 DHCP?
提前致谢
答案1
将域控制器多宿主并不是最佳做法。因此,最好使用路由器保护您的 WAN。ISP 调制解调器的功能通常有限(vpn 功能、端口转发等),因此我建议在调制解调器处于桥接模式时使用另一个路由器。
引自具有 DNS、RRAS 和/或 PPPoE 适配器的多宿主 DC
多宿主 DC 是安装了多个 NIC 和/或 IP 地址和/或 RRAS(用于 VPN、路由、拨号等)的域控制器,或者安装了来自 ISP 的 ADSL 线路的 PPPoE 适配器。多宿主 DC 会导致许多问题。
该规则的唯一例外是 SBS 服务器,但这是一个完全不同的主题,我不会在此博客中讨论,但我可以补充一点,即使是 SBS 专家也建议将其单独托管。
强烈建议将所有 DC 设置为单宿主,并使用非 DC 实现多宿主。如果是互联网网关,例如将 DC 用作 NAT 设备,则多宿主 DC 不仅会导致 AD 问题,还会将 DC 直接暴露在互联网上。为了克服这两个问题,我建议禁用外部 NIC 并为此购买便宜的电缆/DSL 防火墙/路由器或其他类型的防火墙/NAT 设备。我偏爱 Cisco ASA 设备。还有更便宜的选择,例如价格低于 150 美元的 Linksys 无线 N 路由器,以及价格更低的型号。如果硬件设备被互联网攻击者远程攻击,它无法进一步攻击其余的内部网络或您的 DC。如果您安装了 PPPoE 适配器(例如 Verizon 为 ADSL 线路提供的 WinPoet 软件),它会导致同样的问题,毕竟它们是附加接口。
答案2
但是,对于我的 ISP 提供的调制解调器/路由器,我认为我应该将其设置为桥接模式,因为 Windows Server 将处理路由。这种想法是否不正确?我是否应该保持 ISP 提供的调制解调器/路由器未桥接并禁用 DHCP?
Windows 服务器不会处理您的网络路由。您需要继续使用 ISP 提供的调制解调器/路由器。您可以禁用路由器上的 DHCP 服务器功能,并使用服务器上的 DHCP 角色为网络主机分配 IP 地址配置。确保 DHCP 服务器将路由器 IP 地址分配为您的网络主机的路由器。