Внешний IP-адрес гостя HyperV: RRAS NAT на хосте VS прямой доступ к внешней сети с виртуальным коммутатором Microsoft?
У меня есть хост Win2008 R2 HyperV с одним физическим адаптером, на котором запущено несколько виртуальных машин. У меня подсеть внешних IP-адресов: x.x.x.208 / 255.255.255.240
Раньше у меня была следующая настройка:
ОС хоста будет иметь роли AD DC, HyperV, RRAS, DHCP и DNS. Физическому адаптеру будут явно назначены все доступные IP-адреса:
x.x.x.210 / 255.255.255.240
...
x.x.x.221 / 255.255.255.240
В сети HyperV будет создана одна внешняя сеть, но с включенной опцией «Разрешить управляющей ОС использовать адаптер» - таким образом я мог бы назначить общедоступный IP-адрес и хост-ОС:
HyperV создал еще один сетевой адаптер, который я использовал для внутренней LAN (192.168.2.0 / 255). RRAS был настроен для маршрутизации NAT и LAN и выполняет NAT для гостей следующим образом:
x.x.x.210 -> 192.168.2.10, Разрешить входящие сеансы = ДА
...
x.x.x.221 -> 192.168.2.21, Разрешить входящие сеансы = ДА
Таким образом, практически у всех гостевых виртуальных машин не было внешнего IP-адреса, но для них это не имело значения - они все еще имели доступ к Интернету и были доступны извне.
затем у нас начались проблемы с RRAS, VPN и т. д. и т. д. - поэтому я немного прочитал и прочитал, что схема NAT не подходит (could someone comment on this btw?), и я должен виртуализировать физический адаптер, чтобы гостевые виртуальные машины получили доступ к внешней сети напрямую. Хорошо, я сделал это.
Вот текущая настройка:
Я удалил «Разрешить управляющей ОС использовать адаптер» с внешнего адаптера и добавил вторую внутреннюю сеть в HyperV.
Затем мне пришлось добавить второй сетевой адаптер к каждой гостевой виртуальной машине, а затем явно установить общедоступный IP-адрес для каждой из них. Это было сделано, и работает нормально. Роль RRAS была удалена с хоста.
вопросы:
Правильно ли я поступил? Мое внутреннее чувство говорит «да» - поскольку здесь у нас меньше «частей» (или, по крайней мере, похоже), но я просто хочу получить некоторые авторитетные мнения.
Какие-либо проблемы, о которых я должен знать, с текущей настройкой по сравнению со старой? Какие передовые методы мне следует предпринять после настройки сети, как описано выше?
Наверное, это самый главный для меня вопрос. В обоих сценариях брандмауэр работает на гостевой виртуальной машине, и после переключения ничего не изменилось. Насколько я понимаю, NAT не выполняет никакой фильтрации трафика - все идет напрямую гостю. ОДНАКО сразу после переключения я начинаю получать следующие ошибки в журнале (на нашем сервере Exchange VM):
Сбой входящей проверки подлинности с ошибкой LogonDenied для соединителя получения по умолчанию EXCHANGE. Механизм аутентификации - Ntlm. Исходный IP-адрес клиента, который попытался пройти аутентификацию в Microsoft Exchange, - [200.195.42.7].
это своего рода подразумевает для меня, что в новой настройке виртуальная машина стала «более» уязвимой для внешних угроз - но я просто не понимаю, почему этого не произошло в сценарии с NAT? Проверил - перед переключением НЕТ подобных ошибок. Почему я получаю такие ошибки сейчас? что изменилось с точки зрения сети?