У меня есть сервер Windows 2008, который подключается к цели iSCSI в окне OpenSolaris (ура ZFS!). Я хотел бы создать частную сеть между двумя устройствами, которая полностью отделена от моего домена Windows.
Как лучше всего настроить дополнительный сетевой адаптер на компьютере Windows, чтобы он не думал, что новая подсеть является частью домена Windows? Я хочу убедиться, что Windows не начнет волшебным образом передавать сообщения активного каталога по частному проводу и не начнет отравлять DNS IP-адресами из частной сети.
Правильный способ добиться этого - отключить протоколы Microsoft от интерфейса iSCSI. Перейдите к свойствам сетевого подключения и снимите флажки для «Клиент для сетей Microsoft» и «Общий доступ к файлам и принтерам для сетей Microsoft».
Перед:
После:
Многие из этих шагов были бы излишним!
По моему собственному опыту, все, что мне нужно было сделать для разделения трафика, - это просто отключить шлюз по умолчанию от второго (SAN) NIC. Windows Server 2008 достаточно умен, чтобы распознавать сеть «Домен» и соответствующим образом направлять весь трафик домена. Если вы посмотрите на статус NIC, когда WS2K8 выполняет это действие, NIC домена будет фактически отображать DN доменной сети. Ваш SAN NIC скажет «Неопознано».
Вероятно, самым простым методом было бы использование конфигурации «Public Link / Private Link», аналогичной кластеризованным серверам. Общедоступная ссылка будет подключаться к вашему домену Windows, а частная ссылка будет подключаться к NAS. Уловка в этой ситуации состоит в том, чтобы настроить частный канал с полностью отличным IP-адресом от подсети, используемой в вашем домене Windows. Например, если ваша сеть Windows работает в подсети 10.0.0.0, вы можете использовать подсеть 192.168.0.0 для частного канала. Вы также хотите использовать минимальный объем информации при настройке соединения. Вам потребуется только IP-адрес и маска подсети.
Вы можете использовать еще два метода:
С помощью любого из этих методов вы должны указать, что любой трафик, привязанный к подсети 10.0.0.0, должен использовать 10.xxx (вставьте здесь фактический IP-адрес общедоступной ссылки), а любой трафик, привязанный к подсети 192.168.0.0, должен использовать 192.168.xx (введите здесь фактический IP-адрес частной ссылки). Все эти методы можно использовать вместе, если вы хотите обеспечить дополнительные меры безопасности для предотвращения перекрестного заражения.
Можно ли настроить брандмауэр на этом конкретном интерфейсе для фильтрации исходящего трафика Active Directory после выполнения действий, описанных therulebookman?
Поскольку здесь нет ответов, я дам то, что помню. Похоже, сетевой стек Windows достаточно умен, чтобы направлять этот трафик, зная, какой адаптер имеет IP-адрес в этой подсети. Кроме того, вы можете оставить поле DNS пустым для частного подключения в настройках TCP / IP в разделе свойств. Вы также можете перейти оттуда к расширенному и удалить домены, которые он ищет. Это, по крайней мере, оптимизирует поток данных, и я считаю, что именно так мы его настроили, переходя с сервера 2003 на Dell md3000i. Я не заметил ничего сумасшедшего на мониторе трафика, и там много данных проходит. надеюсь, это поможет.
Тим сделал отличное замечание, которое я забыл, а именно - оставить в стороне. Другими словами, как он сказал, просто используйте IP-адрес и маску подсети. Но окна заполняют некоторые другие вещи сами по себе, и мне тоже нравится избавляться от этого. Еще одна вещь, которую вы можете сделать для оптимизации трафика, - это удалить все, кроме TCP / IP, из свойств соединения в соединении SAN.