将林信任限制为单个 DC 对

将林信任限制为单个 DC 对

我们有两个已建立信任的 AD 林。fwDomain 已被防火墙阻止访问 corpDomain 中的资源。

corpDomain 在防火墙边界内有一个 DC,并且能够与其他 corpDomain DC 进行通信。

目标是将 fwDomain trust\AD 流量限制到同一防火墙边界内的单个 corpDomain DC。fwDomain DC 不应尝试与防火墙外的其他 corpDomain DC 进行通信。信任图

这不是防火墙问题。这是 DNS 或 ADSS 问题 - 将 ldap\kerberos\etc 流量限制到同一防火墙边界内的 DC。

条件转发器将不起作用,因为 fwDomain DC 正在获取其无法与之通信的 corpDomain DC 的解析。

在 fwDomain 中,我尝试创建一个精简的主 corpDomain DNS 区域,其中服务记录仅指向单个 corpDomain DC,但这也不起作用。

提前致谢。

答案1

我认为这不可行。如果您希望域控制器记录无法访问,则不应将其发布到全球。这一点以及相关程序和建议已记录了近 20 年。

对于与父母记录相同的情况尤其如此。

此外,这通常没有很好的商业理由。我听过很多次这样的争论,通常是有人不想在日志中看到乱七八糟的东西。很难。

AD 不是这样设计的。它被设计为可通过多台服务器访问。流量可以受到影响,但不能消除。DNS 记录可以发布,也可以不发布。

但是,您可以阻止受损域中的 DC 与特定域控制器记录进行通信名称. 这并不罕见,本质上涉及域控制器的 sinkholing名称在有问题的受损域控制器上的 hosts 文件中。

相关内容