我们正在独立本地域(从现在起为 DMZ)和 AD/AAD(同步)企业域(从现在起为 CORP)之间建立信任,以便 CORP 的用户可以登录加入 DMZ 的服务器。明确地说,它们位于不同的林中。
我的目的是建立从 DMZ 到 CORP 的外部、非传递的信任。
现在,问题是 - CORP 域在本地有两个域控制器,在 Azure 中有两个作为虚拟机的域控制器...我想避免必须添加两个防火墙规则(一个用于本地 DC,一个用于 Azure DC)。我如何才能限制从 DMZ 到 CORP 的任何 AD 流量仅到达本地 CORP DC,或者除了冗余之外,出于其他原因这是否不可取?
我猜测如果可能的话这将与站点和服务下的 CORP AD 配置有关,在这种情况下我可能会有几个后续问题:)
提前致谢并为您的新手行为道歉。
答案1
如果您指的 AAD 是 Azure AD,那么您无需担心。AD 和 AAD 是两个完全不同的系统,它们使用中间工具(AD connect)在它们之间同步数据。基本上,您的 DNZ 域控制器对 AAD 一无所知。