OpenSolarisボックスのiSCSIターゲットに接続しているWindows2008サーバーがあります(ZFSです!)。 Windowsドメインとは完全に別の2つのボックスの間にプライベートネットワークを作成したいと思います。
新しいサブネットがWindowsドメインの一部であると見なされないように、Windowsマシンで追加のネットワークアダプターを構成するための最良の方法は何ですか? Windowsがプライベートネットワークを介してActiveDirectory通信を魔法のように吐き出し始めないようにし、プライベートネットワークからのIPでDNSを汚染し始めないようにしたいのです。
これを実現する正しい方法は、MicrosoftプロトコルをiSCSIインターフェイスからバインド解除することです。ネットワーク接続のプロパティに移動し、[Microsoftネットワーク用クライアント]および[Microsoftネットワーク用ファイルとプリンターの共有]のチェックボックスをオフにします。
前:
後:
これらのステップの多くはかなりやり過ぎでしょう!
私自身の経験から、トラフィックを分離するために必要なことは、デフォルトゲートウェイを2番目の(SAN)NICから遠ざけることだけです。 Windows Server 2008は、「ドメイン」ネットワークを認識し、それに応じてすべてのドメイントラフィックをルーティングするのに十分なほどスマートです。 NICステータスを見ると、WS2K8がそれを実行しているとき、ドメインNICは実際にドメインネットワークのDNを表示します。あなたのSAN NICは「不明」と表示されます。
答えがゼロなので、覚えていることをあげます。 Windowsネットワークスタックは、どのアダプタがそのサブネット上にIPアドレスを持っているかを知ることによって、そのトラフィックをルーティングするのに十分賢いようです。また、プロパティのTCP/IP設定でプライベート接続のDNSを空白のままにすることもできます。そこから詳細に移動して、検索したドメインを削除することもできます。これにより、少なくともデータフローが最適化されます。これが、サーバー2003からDellmd3000iへのセットアップ方法であると思います。トラフィックモニターでおかしなことに気づいたことはなく、そこにはかなりのデータが流れています。それがお役に立てば幸いです。
ティムは私が忘れていた優れた点を指摘しました。つまり、彼が言ったように、IPとサブネットマスクを使用するだけです。しかし、ウィンドウはそれ自体で他のいくつかのものを埋めます、そして私もそのようなものを取り除くのが好きです。トラフィックを最適化するためにできるもう1つの方法は、SAN接続の接続プロパティから「TCP/IP」以外のすべてを削除することです。
ルールブックマンによって概説された手順を実行した後、発信Active Directoryトラフィックをフィルタリングするようにその特定のインターフェイスにファイアウォールを構成することは可能でしょうか?
おそらく最も簡単な方法は、クラスター化されたサーバーと同様の「パブリックリンク/プライベートリンク」構成を使用することです。パブリックリンクはWindowsドメインへの接続になり、プライベートリンクはNASに接続します。この状況での秘訣は、Windowsドメインで使用されているサブネットとはまったく異なるIPアドレスを使用してプライベートリンクを構成することです。たとえば、Windowsネットワークが10.0.0.0サブネットで実行されている場合、プライベートリンクに192.168.0.0サブネットを使用できます。また、接続を構成するときに最小限の情報を使用する必要があります。必要なのはIPアドレスとサブネットマスクだけです。
使用できる他の2つの方法は次のとおりです。
これらの方法のいずれかを使用して、10.0.0.0サブネットにバインドされたトラフィックは10.xxxを使用する必要があり(ここにパブリックリンクの実際のIPアドレスを挿入)、192.168.0.0サブネットにバインドされたトラフィックは192.168.xxを使用する必要があることを指定します。 (ここにプライベートリンクの実際のIPアドレスを挿入します)。相互汚染を防ぐための追加の保護手段を確保したい場合は、これらすべての方法を一緒に使用できます。