IP externo do convidado do HyperV: RRAS NAT no host VS acesso direto à rede externa com o Microsoft Virtual Switch?

Eu tenho o host Win2008 R2 HyperV com um adaptador físico executando um monte de VMs. Eu tenho uma sub-rede de endereços IP externos: x.x.x.208 / 255.255.255.240

Eu costumava ter a seguinte configuração:

O sistema operacional host teria AD DC, HyperV, RRAS, DHCP & Funções de DNS. O adaptador físico teria todos os endereços IP disponíveis atribuídos explicitamente a ele:

x.x.x.210 / 255.255.255.240

...

x.x.x.221 / 255.255.255.240

A rede HyperV teria uma rede externa criada - mas com a opção "Permitir que o sistema operacional de gerenciamento compartilhe o adaptador" ativada - assim eu poderia atribuir IP público ao sistema operacional host também:

OHyperVcriououtroadaptadorderedecomoqueeuuseiparaLANinterna(192.168.2.0/255).ORRASfoidefinidopararoteamentodeNATeLAN,efazNATtingparaconvidadosdaseguinteforma:

x.x.x.210->192.168.2.10,Allowincomingsessions=YES

...

x.x.x.221->192.168.2.21,Allowincomingsessions=YES

Então,basicamente,todasasVMsconvidadasnãotinhamendereçoIPexterno-masparaelasissonãoimportava-elasaindatinhamacessoàInterneteeramacessíveisdefora.

entãocomeçamosaterproblemascomoRRAS,VPN,etc,etc-entãofizalgumasleituraseliqueoesquemaNATnãoébom(couldsomeonecommentonthisbtw?)eeudeveriavirtualizaroadaptadorfísicoparadaracessodeVMsconvidadasàredeexternadiretamente.Tudobem,eufizisso.

Aquiestáaconfiguraçãoatual:

Euremovi"Permitir que o sistema operacional de gerenciamento compartilhasse o adaptador" do adaptador externo e adicionei a segunda rede interna ao HyperV.

DepoistivequeadicionarosegundoadaptadorderedeacadaVMguest-edepoisdefinirexplicitamenteoendereçoIPpúblicoparacadaum.Issofoifeitoefuncionabem.OpapeldoRRASfoiremovidodohost.

perguntas:

1. Eufizacoisacerta?Meusentimentointeriordizsim-comoaquinóstemosmenos"partes" (ou pelo menos parece), mas eu só quero obter algumas opiniões de autoridade.

2. Quaisquer problemas que eu deva conhecer com a configuração atual em comparação com a antiga? Quais são as melhores práticas que devo fazer depois de configurar a rede conforme descrito acima?

3. Provavelmente, a questão mais importante para mim. Nos dois cenários, o firewall está sendo executado na VM guest, e nada mudou depois do switch. E meu entendimento é que o NAT não faz nenhuma filtragem de tráfego - tudo vai diretamente para o guest. No entanto, logo após o switch, eu começo a receber os seguintes erros no log (no nosso servidor de troca de VM):

Inbound authentication failed with error LogonDenied for Receive connector Default EXCHANGE. The authentication mechanism is Ntlm. The source IP address of the client who tried to authenticate to Microsoft Exchange is [200.195.42.7].

isso meio que implica para mim que na nova configuração a VM se tornou "mais" exposta à ameaça externa - mas eu simplesmente não entendo porque esse não era o caso do cenário NATed? Eu verifiquei - não há erros NONE assim antes do switch. Por que estou recebendo esses erros agora? o que mudou do ponto de vista da rede?