设置对具有本地 DC 和 Azure 中的 AD 环境的信任,如何将 AD 流量限制到仅限本地 DC?

设置对具有本地 DC 和 Azure 中的 AD 环境的信任,如何将 AD 流量限制到仅限本地 DC?

我们正在独立本地域(从现在起为 DMZ)和 AD/AAD(同步)企业域(从现在起为 CORP)之间建立信任,以便 CORP 的用户可以登录加入 DMZ 的服务器。明确地说,它们位于不同的林中。

我的目的是建立从 DMZ 到 CORP 的外部、非传递的信任。

现在,问题是 - CORP 域在本地有两个域控制器,在 Azure 中有两个作为虚拟机的域控制器...我想避免必须添加两个防火墙规则(一个用于本地 DC,一个用于 Azure DC)。我如何才能限制从 DMZ 到 CORP 的任何 AD 流量仅到达本地 CORP DC,或者除了冗余之外,出于其他原因这是否不可取?

我猜测如果可能的话这将与站点和服务下的 CORP AD 配置有关,在这种情况下我可能会有几个后续问题:)

提前致谢并为您的新手行为道歉。

答案1

如果您指的 AAD 是 Azure AD,那么您无需担心。AD 和 AAD 是两个完全不同的系统,它们使用中间工具(AD connect)在它们之间同步数据。基本上,您的 DNZ 域控制器对 AAD 一无所知。

相关内容