Dicas sobre como configurar a infraestrutura do AD para duas redes separadas para um ambiente de sala de aula

Navegue suas respostas
2

Estou fazendo uma aula que envolve testes de \ segurança de malware e, portanto, quero isolar meus laboratórios para sua própria rede sem roteamento para o site principal. Eu quero ser capaz de definir políticas, criar usuários, etc. do meu DC principal que existe na rede principal. O firewall tem roteamento de tal forma que a rede principal pode acessar as duas redes de laboratório, mas a rede do laboratório não pode falar com a rede principal, a menos que seja estabelecida uma relação. Eu não sou um cara grande do Windows, então eu preciso de um pouco de orientação. A topologia é a seguinte

Eu não tenho representante suficiente para postar imagens, então veja a topologia

Euprevejoosseguintesproblemas:

  • OsDCsdelaboratórionãopodemusaroDCprincipalcomoservidorDNSouservidorLDAP,poisosDCsdelaboratórionãopodemfalarcomoprincipalnamaiorparte.OsPCsnosrespectivoslaboratóriospodemusarseusrespectivosDCscomoservidoresDNS.
  • Ocontroladordedomínioprincipalpode"empurrar" as políticas para os outros controladores de domínio, mas quanto ao ponto acima, os outros controladores de domínio não conseguem extrair nada do controlador de domínio principal.
  • Eu suponho que todas as funções FSMO precisarão ser mantidas no DC principal.
  • Como posso DCPromo os DCs do laboratório se eles não podem usar o DC principal como um servidor DNS.

O que estou tentando alcançar é possível?

    
por NetworkErr0r 20.12.2016 / 18:02

1 resposta

5

  • The main DC can "push" policies to the other DCs but as to the point above the other DCs can not pull anything from the main DC.

  • I assume all FSMO roles will need to be held on the Main DC.

O objetivo de um ambiente laboratório é que ele é autárquico e não está conectado a nenhum ambiente que não seja de laboratório. Para que suas políticas de DC principais sejam enviadas para o ambiente de laboratório, só seria possível se você conectasse seu ambiente de laboratório ao Active Directory principal. Mas então você não poderia mais chamar isso de ambiente de laboratório. Eu não posso dizer a você com certeza se o que você quer é possível, mas somente porque (na minha opinião) não segue práticas razoáveis de gerenciamento de tecnologia de informação de negócios (que também é um motivo próximo) e então eu nunca implementei algo assim.

Mas desde que você pergunte se isso é possível, não como realmente fazer isso, em vez de fechar a votação, eu direi a você que seus planos soam como práticas piores. Então, por favor, não faça isso.

Minhas sugestões são criar um ambiente de laboratório autárquico e criar uma nova floresta de laboratório. Se você precisar de políticas do seu controlador de domínio principal, a melhor opção é exportar as políticas do GPMC e importá-las novamente no ambiente de laboratório.

Editar:

[From your comment below] This isn't a main DC as in the org one. It's a DC everyone in the class can access.

Eu não entendi isso pela sua pergunta. Nesse caso, a única coisa que você pode fazer para não interromper a replicação do AD é implementar os controladores de domínio somente leitura em seus laboratórios. Mas isso só funcionaria porque:

What operations fail if the WAN is offline, but the RODC is online in the branch office? [Which would reflect your planned setup; RODC cannot contact the writable DC.]

If the RODC cannot connect to a writable domain controller running Windows Server 2008 in the hub, the following branch office operations fail:

  • Password changes
  • Attempts to join a computer to a domain
  • Computer rename

  • Authentication attempts for accounts whose credentials are not cached on the RODC

  • Group Policy updates that an administrator might attempt by running the gpupdate /force command

Fonte: link

    
por 21.12.2016 / 09:58

Tags

Interacção conveniente da consola de estampagem de data / hora, p. ex. usando aliases de shell? Recuperação do Raid 10 no servidor Dell - Perc 6 / i