web-dev-qa-db-ja.com

Windows 2008ドメインコントローラー上の複数のネットワーク接続(NASのプライベートネットワーク)

OpenSolarisボックスのiSCSIターゲットに接続しているWindows2008サーバーがあります(ZFSです!)。 Windowsドメインとは完全に別の2つのボックスの間にプライベートネットワークを作成したいと思います。

新しいサブネットがWindowsドメインの一部であると見なされないように、Windowsマシンで追加のネットワークアダプターを構成するための最良の方法は何ですか? Windowsがプライベートネットワークを介してActiveDirectory通信を魔法のように吐き出し始めないようにし、プライベートネットワークからのIPでDNSを汚染し始めないようにしたいのです。

3
Sysadminicus

これを実現する正しい方法は、MicrosoftプロトコルをiSCSIインターフェイスからバインド解除することです。ネットワーク接続のプロパティに移動し、[Microsoftネットワーク用クライアント]および[Microsoftネットワーク用ファイルとプリンターの共有]のチェックボックスをオフにします。

前:

enter image description here

後:

enter image description here

2

これらのステップの多くはかなりやり過ぎでしょう!

私自身の経験から、トラフィックを分離するために必要なことは、デフォルトゲートウェイを2番目の(SAN)NICから遠ざけることだけです。 Windows Server 2008は、「ドメイン」ネットワークを認識し、それに応じてすべてのドメイントラフィックをルーティングするのに十分なほどスマートです。 NICステータスを見ると、WS2K8がそれを実行しているとき、ドメインNICは実際にドメインネットワークのDNを表示します。あなたのSAN NICは「不明」と表示されます。

0
Tim Robichaux

答えがゼロなので、覚えていることをあげます。 Windowsネットワークスタックは、どのアダプタがそのサブネット上にIPアドレスを持っているかを知ることによって、そのトラフィックをルーティングするのに十分賢いようです。また、プロパティのTCP/IP設定でプライベート接続のDNSを空白のままにすることもできます。そこから詳細に移動して、検索したドメインを削除することもできます。これにより、少なくともデータフローが最適化されます。これが、サーバー2003からDellmd3000iへのセットアップ方法であると思います。トラフィックモニターでおかしなことに気づいたことはなく、そこにはかなりのデータが流れています。それがお役に立てば幸いです。

ティムは私が忘れていた優れた点を指摘しました。つまり、彼が言ったように、IPとサブネットマスクを使用するだけです。しかし、ウィンドウはそれ自体で他のいくつかのものを埋めます、そして私もそのようなものを取り除くのが好きです。トラフィックを最適化するためにできるもう1つの方法は、SAN接続の接続プロパティから「TCP/IP」以外のすべてを削除することです。

0
therulebookman

ルールブックマンによって概説された手順を実行した後、発信Active Directoryトラフィックをフィルタリングするようにその特定のインターフェイスにファイアウォールを構成することは可能でしょうか?

0
Matt Simmons

おそらく最も簡単な方法は、クラスター化されたサーバーと同様の「パブリックリンク/プライベートリンク」構成を使用することです。パブリックリンクはWindowsドメインへの接続になり、プライベートリンクはNASに接続します。この状況での秘訣は、Windowsドメインで使用されているサブネットとはまったく異なるIPアドレスを使用してプライベートリンクを構成することです。たとえば、Windowsネットワークが10.0.0.0サブネットで実行されている場合、プライベートリンクに192.168.0.0サブネットを使用できます。また、接続を構成するときに最小限の情報を使用する必要があります。必要なのはIPアドレスとサブネットマスクだけです。

使用できる他の2つの方法は次のとおりです。

  • IPSecポリシーを実装します。
  • Windowsルーティングテーブルに永続ルートを追加します。

これらの方法のいずれかを使用して、10.0.0.0サブネットにバインドされたトラフィックは10.xxxを使用する必要があり(ここにパブリックリンクの実際のIPアドレスを挿入)、192.168.0.0サブネットにバインドされたトラフィックは192.168.xxを使用する必要があることを指定します。 (ここにプライベートリンクの実際のIPアドレスを挿入します)。相互汚染を防ぐための追加の保護手段を確保したい場合は、これらすべての方法を一緒に使用できます。

0
KevinH