我有一个活动目录和一些在公共 IP 上运行的服务器,例如
广告 --> 62.xx.xx.210
Server joined ADS
Team foundation server --> 62.xx.xx.211
SQL Server --> 62.xx.xx.212
Exchange server --> 62.xx.xx.213
Web Server --> 62.xx.xx.214
Web Server --> 62.xx.xx.215
And some other servers / windows 8.1
我的活动目录目前正受到 DNS 放大攻击,服务器提供商建议我采取行动,否则他们将停止服务。我尝试在 UDP 端口 389 上工作,但只要我阻止端口 389,Exchange 服务器就会停止工作。我的主要目标是处理 DNS 放大攻击,我阅读并意识到我在创建公共活动目录时做错了。现在我正在将活动目录从公共 IP 移动到私有 IP。为了实现这一点,我在每台服务器中添加了新接口,在所有服务器之间创建了一个私有网络,每台机器也可以在私有 IP 上 ping 对方。(添加路由)现在我有
广告-->62.xx.xx.210, 10.28.62.210
Server joined on Public IP and have Private IPs
Team foundation server --> 62.xx.xx.211, 10.28.62.211
SQL Server --> 62.xx.xx.212, 10.28.62.212
Exchange server --> 62.xx.xx.213, 10.28.62.212
Web Server --> 62.xx.xx.214, 10.28.62.214
Web Server --> 62.xx.xx.215, 10.28.62.215
现在我该如何操作才能将所有服务器移至私有域,并使其在公共 IP 上可用。但 Active Directory 仍保持私有。这意味着,我禁用 Active Directory 的公共接口或将 DNS 更改为仅在私有接口上侦听,但所有其他服务器在公共 IP 上可用,但从私有 ADS 进行身份验证。有什么建议,应该怎么做。
谢谢
答案1
以下并未回答“如何更改为私有 IP”的问题。这个问题可能无法在问答论坛中得到解答。但您可以采取短期措施来保持您的业务正常运行:
附加外部 IP
- 从您的 ISP 获取额外的新外部 IP
- 将 62.xx.xx.xx 网络与物理互联网网络分开
- 安装带有 NAT 的防火墙(例如普福斯)用于互联网访问
如果你无法获取额外的外部 IP
您的网络 62.xx.xx.xx 似乎很大。(/26?)。也许您可以将其分成两个较小的子网。在第一个子网中,您保留内部服务器和网关 IP,并将其与物理互联网网络分开。从第二个子网中,您选择一个 IP 作为外部 IP,并安装如上所述的 NAT 防火墙。
作为一项长期策略,您需要考虑防火墙和 DMZ。
希望有帮助,祝你好运!