Evitar um controlador de domínio multi-homed em um ambiente de rede dupla

1

Estou tentando assumir uma infraestrutura antiga e limpá-la, mas estou tendo alguns problemas para decidir sobre a nova arquitetura.

Temos um conjunto de cerca de uma dúzia ou dois servidores de teste / produção em um rack, com duas redes paralelas entre eles. Cada servidor tem duas placas de rede e está conectado a ambas as redes.

Uma das redes é a rede externa, com IPs da Internet públicos e acesso à Internet. A outra é uma rede local, com IPs internos, e é usada como uma rede de comunicação interna de faixa rápida, para transferir backups e conectar-se a bancos de dados, sem afetar a largura de banda da rede externa.

Eu quero configurar um controlador de domínio na rede, e meu plano inicial era configurá-lo na rede interna, então toda a comunicação do AD é enviada pela LAN interna, mas se eu quiser que o AD tenha acesso à Internet acesso (para atualizações etc) também teria que ser conectado à rede externa, o que tornaria multi-homed.

Como alternativa, posso conectá-lo à rede externa somente , mas isso significaria que a comunicação do AD também passa pela rede externa, e os nomes DNS fornecidos aos servidores apontarão para IPs externos , o que não é realmente o que eu quero. Além disso, nesse caso, todos os servidores marcarão o adaptador de rede externo como um adaptador de Domínio (Idealmente, eu gostaria que o adaptador externo fosse uma rede "Pública" e o interno a rede "privada" / "domínio")

A configuração do DC como servidor multi-homed é a única solução lógica aqui? Eu sinto que estou sentindo falta de algo muito simples

P.S. Observação: não preciso que o DC esteja acessível na Internet e os nomes DNS criados pelo DC não devem ser públicos, eles são apenas para endereço interno.

P.P.S. Meu plano era configurar ambos os NICs nos DCs (IPs estáticos em ambas as redes), bloquear quaisquer conexões de entrada para o servidor através do adaptador de rede externo (será apenas para acesso à internet) e ligar os servidores DNS locais ao interno IP. Cada um dos servidores na rede estará acessando o DC pelo IP interno para evitar problemas de resolução. Isso soa bem o suficiente?

    
por Artiom 30.07.2014 / 09:42

2 respostas

3

Eu acho que seu plano é falho.

Do meu ponto de vista, a coisa "certa" a fazer é:

  • Coloque um firewall na frente de tudo isso
  • Coloque um roteador na frente de tudo isso (pode ser o mesmo que o FW, depende do curso)
  • Ter todos os servidores como "internos", você ainda pode segregá-los em várias redes de curso
  • Desabilite / retire o NIC secundário se não precisar da largura de banda ou troque-os por failover
  • Encaminhar as portas necessárias para os servidores necessários

Agora você pode apenas rotear "internamente" entre as redes, sem multi-homing-los.

    
por 30.07.2014 / 10:09
0

Um controlador de domínio com vários endereços IP quase nunca é uma solução para qualquer coisa . Isso causa mais problemas do que resolve. Os problemas são particularmente agudos para o DNS, porque o "ListenAddresses" é apenas metade do problema. Você também precisaria configurar o valor PublishAddresses e, se não fizer isso, o controlador de domínio distribuiria o endereço errado aleatoriamente até você perder a cabeça ou voltar aqui perguntando por que ele não está funcionando.

Além disso, geralmente é uma má idéia permitir que servidores críticos, como controladores de domínio, acessem a Internet, mesmo que seja apenas o acesso de saída. Se você tiver uma incursão, a primeira coisa que o malware faz é telefonar para casa pela Internet e convidar todos os seus amigos. Precisa de atualizações? Use a função de atualização do servidor integrada em outra máquina.

    
por 02.08.2014 / 15:08