将 Active Directory 从公共 IP 切换到私有 IP

将 Active Directory 从公共 IP 切换到私有 IP

我有一个活动目录和一些在公共 IP 上运行的服务器,例如

广告 --> 62.xx.xx.210

Server joined ADS 

Team foundation server --> 62.xx.xx.211

SQL Server --> 62.xx.xx.212

Exchange server --> 62.xx.xx.213

Web Server --> 62.xx.xx.214

Web Server --> 62.xx.xx.215

And some other servers / windows 8.1 

我的活动目录目前正受到 DNS 放大攻击,服务器提供商建议我采取行动,否则他们将停止服务。我尝试在 UDP 端口 389 上工作,但只要我阻止端口 389,Exchange 服务器就会停止工作。我的主要目标是处理 DNS 放大攻击,我阅读并意识到我在创建公共活动目录时做错了。现在我正在将活动目录从公共 IP 移动到私有 IP。为了实现这一点,我在每台服务器中添加了新接口,在所有服务器之间创建了一个私有网络,每台机器也可以在私有 IP 上 ping 对方。(添加路由)现在我有

广告-->62.xx.xx.210, 10.28.62.210

Server joined on Public IP and have Private IPs

Team foundation server --> 62.xx.xx.211, 10.28.62.211

SQL Server --> 62.xx.xx.212, 10.28.62.212

Exchange server --> 62.xx.xx.213, 10.28.62.212

Web Server --> 62.xx.xx.214, 10.28.62.214

Web Server --> 62.xx.xx.215, 10.28.62.215

现在我该如何操作才能将所有服务器移至私有域,并使其在公共 IP 上可用。但 Active Directory 仍保持私有。这意味着,我禁用 Active Directory 的公共接口或将 DNS 更改为仅在私有接口上侦听,但所有其他服务器在公共 IP 上可用,但从私有 ADS 进行身份验证。有什么建议,应该怎么做。

谢谢

答案1

以下并未回答“如何更改为私有 IP”的问题。这个问题可能无法在问答论坛中得到解答。但您可以采取短期措施来保持您的业务正常运行:

附加外部 IP

  • 从您的 ISP 获取额外的新外部 IP
  • 将 62.xx.xx.xx 网络与物理互联网网络分开
  • 安装带有 NAT 的防火墙(例如普福斯)用于互联网访问

如果你无法获取额外的外部 IP

您的网络 62.xx.xx.xx 似乎很大。(/26?)。也许您可以将其分成两个较小的子网。在第一个子网中,您保留内部服务器和网关 IP,并将其与物理互联网网络分开。从第二个子网中,您选择一个 IP 作为外部 IP,并安装如上所述的 NAT 防火墙。

作为一项长期策略,您需要考虑防火墙和 DMZ。

希望有帮助,祝你好运!

相关内容