Eu tenho um servidor Windows 2008 conectado a um destino iSCSI em uma caixa do OpenSolaris (yay ZFS!). Eu gostaria de criar uma rede privada entre as 2 caixas que é totalmente separada do meu domínio Windows.
Qual é a melhor maneira de configurar o adaptador de rede adicional na máquina Windows para que a nova sub-rede não faça parte do domínio do Windows? Eu quero ter certeza que o Windows não magicamente comece a vomitar as comunicações do diretório ativo pelo fio privado e que ele não comece a envenenar o DNS com IPs da rede privada.
A maneira correta de conseguir isso é desvinculando os protocolos da Microsoft da interface iSCSI. Vá para as propriedades da Conexão de Rede e desmarque as caixas de seleção de "Cliente para Redes Microsoft" e "Compartilhamento de Arquivos e Impressoras para Redes Microsoft".
Antes:
Depois:
Seria possível configurar o firewall nessa interface específica para filtrar o tráfego do diretório ativo de saída, depois de seguir as etapas descritas pelo therulebookman?
Provavelmente, o método mais fácil seria usar uma configuração de "Link público / link particular" semelhante aos servidores em cluster. O link público seria a conexão com seu domínio do Windows, e o link privado se conectaria ao NAS. O truque nessa situação é configurar o link privado com um endereço IP completamente diferente da sub-rede usada no domínio do Windows. Por exemplo, se sua rede do Windows for executada na sub-rede 10.0.0.0, você poderá usar a sub-rede 192.168.0.0 para o link privado. Você também deseja usar a quantidade mínima de informações ao configurar a conexão. Você só precisa do endereço IP e da máscara de sub-rede.
Dois outros métodos que você pode usar são:
Com um desses métodos, você especificaria que qualquer tráfego vinculado à sub-rede 10.0.0.0 deve usar 10.xxx (insira o endereço IP real de link público aqui) e qualquer tráfego vinculado à sub-rede 192.168.0.0 deve usar 192.168.xx (insira o endereço IP real do link privado aqui). Todos esses métodos podem ser usados juntos se você quiser garantir proteções adicionais para evitar a contaminação cruzada.
Muitos desses passos seriam um pouco exagerados!
De minha própria experiência, tudo que eu precisei fazer para separar o tráfego é manter um gateway padrão fora da segunda (SAN) NIC. O Windows Server 2008 é inteligente o suficiente para reconhecer a rede "Domínio" e rotear todo o tráfego de domínio de acordo. Se você observar o status da NIC, quando o WS2K8 estiver fazendo isso, a NIC de domínio exibirá, na verdade, o DN da rede de domínio. Seu SAN NIC dirá "Não identificado".
Como isso tem zero respostas, darei o que me lembro. Parece que a pilha de rede do Windows é inteligente o suficiente para rotear esse tráfego sabendo qual adaptador tem um endereço IP nessa sub-rede. Além disso, você pode deixar o DNS em branco na conexão privada nas configurações de TCP / IP nas propriedades. Você também pode ir até lá e excluir os domínios que ele procura. Isso, pelo menos, otimizará o fluxo de dados, e acredito que é assim que o configuramos indo do servidor 2003 para o Dell md3000i. Eu não notei nada louco no monitor de tráfego e há um bom volume de dados correndo por lá. espero que ajude.
Tim fez um excelente ponto que eu esqueci que é deixar o gateway. Então, em outras palavras, como ele disse, basta usar um IP e uma máscara de sub-rede. Mas o Windows preenche algumas outras coisas por conta própria e eu também gosto de me livrar dessas coisas. Outra coisa que você pode fazer para otimizar o tráfego é excluir todos, exceto "TCP / IP", das propriedades de conexão na conexão SAN.