Регистрация Войти
Рейтинг:0
avatar Server

Настройка доверия к среде AD с локальными контроллерами домена и в Azure. Как ограничить трафик AD только локальными контроллерами домена?

флаг us
R C

Мы устанавливаем доверительные отношения между автономным локальным доменом (отныне DMZ) и корпоративным доменом, который является AD/AAD (синхронизированным) (отныне CORP), чтобы пользователи из CORP могли входить на серверы, присоединенные к ДМЗ. Чтобы было ясно, они находятся в разных лесах.

Я намерен установить внешнее нетранзитивное доверие от DMZ к CORP.

Теперь дело в том, что домен CORP имеет два локальных контроллера домена и два контроллера домена в качестве виртуальных машин в Azure... Мне бы не хотелось добавлять два правила брандмауэра (одно для локальных контроллеров домена, одно для контроллеры домена Azure.) Как я могу ограничить любой трафик AD из DMZ в CORP, чтобы он попадал только на локальные контроллеры домена CORP, или это нежелательно по какой-либо причине, кроме избыточности?

Я предполагаю, что, если это возможно, это будет связано с конфигурацией CORP AD для сайтов и служб, и в этом случае у меня может возникнуть несколько дополнительных вопросов :)

Заранее спасибо и извините за нубство.

37
0 + 0
флаг cn
Greg Askew
Я не уверен, почему контроллеры домена в Azure могут быть доступны из локальной демилитаризованной зоны. Если эти контроллеры домена предназначены для использования в Azure, глобальные записи DNS не должны быть зарегистрированы (мнемоника).
0
Ответить
флаг us
R C
Это унаследованная установка. Облачные контроллеры домена существуют для других лазурных виртуальных машин, но также и с заявленной целью улучшения избыточности... что для меня не имеет особого смысла (это было бы полезно, только если все наши локальные контроллеры домена выйдут из строя, что было бы невероятно неудачно)
0
Ответить
флаг cn
Greg Askew
Любой DC может обслуживать клиентов. Как правило, если есть филиал/местоположение, где контроллер домена должен обслуживать только локальных клиентов, записи DNS SRV и такие же, как родительские записи, не должны быть зарегистрированы. Если они зарегистрированы, именно так DC объявляет всем и ВСЕМ клиентам использовать их для обслуживания. Можно влиять на трафик с помощью стоимости ссылки на сайт и параметров политики, но нельзя контролировать или предотвращать поток в обычной среде Windows, не применяя какой-либо сетевой контроль (брандмауэр/IPSEC).
0
Ответить
Рейтинг:0
4snok avatar Server
флаг es
4snok

Если AAD вы имеете в виду Azure AD, то вам не о чем беспокоиться. AD и AAD — это две совершенно разные системы, они используют промежуточный инструмент (AD connect) для синхронизации данных между собой. По сути, ваши контроллеры домена DNZ ничего не знают об AAD.

0 + 0
флаг us
R C
Вы абсолютно правы - может быть, мне следует удалить упоминание об AAD для ясности... Проблема в том, что домен CORP имеет четыре контроллера домена - два из них в помещении, два из них - виртуальные машины в Azure. Я изменил вопрос и отредактировал текст, чтобы он был понятнее (прежде чем было сказано, что у нас есть контроллеры домена в помещении и в Azure).
0
Ответить
4snok avatar
флаг es
4snok
Вы можете контролировать трафик доверия AD с помощью записей DNS SRV для контроллеров домена CORP. https://social.technet.microsoft.com/Forums/en-US/28f8884f-c073-41e0-b2ee-0dbb2dff5a1f/forest-trust-dnsdcs-visibility?forum=winserverDS
0
Ответить
флаг us
R C
Чем вы, эти ссылки очень полезны. И эта, и эта ссылка, на которую они вели косвенно, помогли ответить на несколько основных вопросов, которые у меня были: https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/domain-locator-across-a-forest-trust/ba-p/395689
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.