Почему у контроллера домена есть общедоступный IP-адрес

Ну, если говорить как парень, который работает в компании, у которой до начала этого года были внешние IP-адреса для каждого ... отдельного ... компьютера ... во всей компании. Я имею в виду, дерьмовый компьютер в комнате отдыха? Внешний ip. Неудачный лазерный принтер в офисе, которым не пользовались 5 лет? Внешний ip. Надо получить ценность своих денег из этого блока / 16 ...

Это не проблема ... Нет ничего плохого в том, чтобы иметь внешне маршрутизируемый ip ... Черт, ip6 основан на идее, что это право способ делать вещи. Настоящий вопрос в том, насколько хорошо у вас есть защита на этой машине? Потому что контроллер домена - хрупкий зверь, и ему нельзя разрешать играть в Интернете без присмотра. Если он скомпрометирован, скомпрометирован весь ваш домен, скомпрометированы все доверительные отношения, это просто кошмар.

Поэтому убедитесь, что у него много брандмауэров и фильтров, и не беспокойтесь о внешнем IP-адресе.

Все наши внутренние системы используют публичные адреса. Если вас беспокоит уязвимость сети, вас может больше заинтересовать брандмауэр. Даже с частным IP-адресом все еще может существовать правило, разрешающее трафик, который не должен передаваться в Интернет.

Одна из возможностей состоит в том, что кому-то нужен публичный доступ к AD для аутентификации или служб каталогов. Если это машина во внутренней сети, то я считаю, что это либо коллективная ошибка, либо некомпетентный администратор брандмауэра.

Более подробное объяснение вашего окружения поможет дать более точные ответы, если только вы не задаетесь вопросом в целом.

Я предполагаю, что под общедоступным IP-адресом вы имеете в виду IP-адрес с внешней маршрутизацией, доступный из Интернета.

Контроллер домена не обязательно должен иметь общедоступный IP-адрес, и лучше всего этого не делать. Контроллер домена - это каталог всех учетных записей пользователей и компьютеров в вашей сети, который должен быть максимально безопасным. Один из способов помочь - отключить ваш DC от общедоступной сети.

Очевидно, это не всегда возможно. Многие небольшие компании имеют один сервер, который делает все за них (например, Small Business Server), и в этом случае им может потребоваться DC с общедоступным IP-адресом.

Что сказали Сэм и Сквиллман. Если установка в порядке, возможно, что DC также использует ваш общедоступный DNS, и в этом случае вы хотите, чтобы только эти службы открывались на брандмауэре. Я бы все равно держал все в секрете и просто установил второй сервер привязки или что-то в этом роде.

Кроме того, сам сервер, имеющий общедоступный IP-адрес, кажется странным, обычно у него был бы частный IP-адрес, и я думаю, он был бы NAT.