Puncte:0

Configurarea unei încrederi într-un mediu AD cu DC-uri on-premise și în Azure, cum pot limita traficul AD numai la DC-urile locale?

drapel us
R C

Stabilim o încredere între un domeniu autonom on-premise (DMZ de acum înainte) și un domeniu corporativ care este AD/AAD (sincronizat) (CORP de acum înainte), astfel încât utilizatorii din CORP să se poată conecta la serverele conectate la DMZ. Ca să fie clar, sunt în păduri separate.

Intenția mea este să înființez un trust extern, netranzitiv de la DMZ la CORP.

Acum, chestia este că domeniul CORP are două controlere de domeniu on-premise și două controlere de domeniu ca VM-uri în Azure... Aș dori să evit să fie nevoie să adaug două reguli de firewall (una pentru DC-urile locale, una pentru DC-urile Azure.) Cum aș putea limita orice trafic AD de la DMZ la CORP pentru a atinge doar DC-urile CORP locale sau nu ar fi de dorit acest lucru din niciun motiv în afară de redundanță?

Bănuiesc că, dacă este posibil, acest lucru va avea de-a face cu configurația CORP AD sub site-uri și servicii, caz în care s-ar putea să am câteva întrebări ulterioare :)

Mulțumesc anticipat și scuze pentru noob.

drapel cn
Nu sunt sigur de ce DC-urile din Azure ar fi accesibile dintr-un DMZ local. Dacă acele DC sunt pentru a fi utilizate în Azure, înregistrările globale DNS nu ar trebui înregistrate (mnemonice).
drapel us
R C
Aceasta este o configurație moștenită. DC-urile din cloud sunt acolo pentru alte VM-uri azure, dar și cu scopul declarat de redundanță îmbunătățită... ceea ce nu are foarte mult sens pentru mine (ar fi util doar dacă toate DC-urile noastre de la premisă se defectează, ceea ce ar fi incredibil de ghinionist)
drapel cn
Orice DC poate deservi clienții. De obicei, dacă există o sucursală/locație în care un DC ar trebui să deservească doar clienții locali, înregistrările DNS SRV și la fel ca înregistrările părinte nu ar trebui să fie înregistrate. Dacă sunt înregistrați, acesta este modul în care DC face reclamă tuturor clienților pentru a le folosi pentru service. Este posibil să influențați traficul cu costurile de link-uri și setările de politică, dar nu controlați sau împiedicați fluxul într-un mediu Windows vanilla fără a adopta un anumit control al rețelei (firewall/IPSEC).
Puncte:0
drapel es

Dacă AAD vă referiți la Azure AD, atunci nu aveți de ce să vă faceți griji. AD și AAD sunt două sisteme complet diferite, ele folosesc un instrument intermediar (AD connect) pentru a sincroniza datele între ele. Practic, controlorii dvs. de domeniu DNZ nu vor ști nimic despre AAD.

drapel us
R C
Aveți perfectă dreptate - poate ar trebui să elimin mențiunea AAD pentru claritate... Problema este că domeniul CORP are patru controlere de domeniu - două dintre ele la premisă, două dintre ele VM-uri pe Azure. Am schimbat întrebarea și am editat textul, astfel încât să fie mai clar (înainte de a spune doar că avem DC-uri la premisă și pe Azure).
4snok avatar
drapel es
Puteți controla traficul de încredere AD cu înregistrările DNS SRV pentru DC-urile CORP. https://social.technet.microsoft.com/Forums/en-US/28f8884f-c073-41e0-b2ee-0dbb2dff5a1f/forest-trust-dnsdcs-visibility?forum=winserverDS
drapel us
R C
Multumesc, acele link-uri sunt foarte utile. Atât asta, cât și această legătură, la care au condus indirect, au ajutat să răspund la câteva dintre întrebările de fundal pe care le-am avut: https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/domain-locator-across-a-forest-trust/ba-p/395689

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.