Điểm:0

Thiết lập niềm tin vào môi trường AD với các DC tại cơ sở và trong Azure, làm cách nào tôi có thể giới hạn lưu lượng truy cập AD chỉ đối với các DC tại cơ sở?

lá cờ us
R C

Chúng tôi đang thiết lập sự tin cậy giữa miền tại chỗ độc lập (DMZ từ giờ trở đi) và miền công ty là AD/AAD (được đồng bộ hóa) (CORP từ bây giờ) để người dùng từ CORP có thể đăng nhập vào các máy chủ đã tham gia DMZ. Để rõ ràng, họ đang ở trên những khu rừng riêng biệt.

Ý định của tôi là thiết lập một niềm tin bên ngoài, không chuyển tiếp từ DMZ đến CORP.

Bây giờ, vấn đề là - miền CORP có hai bộ điều khiển miền tại chỗ và hai bộ điều khiển miền dưới dạng máy ảo trong Azure... Tôi muốn tránh phải thêm hai quy tắc tường lửa (một cho DC tại chỗ, một cho Azure DC.) Làm cách nào tôi có thể giới hạn bất kỳ lưu lượng truy cập AD nào từ DMZ đến CORP để chỉ tấn công CORP DC tại cơ sở hoặc điều đó không được mong muốn vì bất kỳ lý do nào ngoài dự phòng?

Tôi đoán nếu có thể thì điều này sẽ liên quan đến cấu hình CORP AD trong các trang web và dịch vụ, trong trường hợp đó tôi có thể có một vài câu hỏi tiếp theo :)

Cảm ơn trước và xin lỗi cho noob-ness.

lá cờ cn
Tôi không chắc tại sao có thể truy cập DC trong Azure từ DMZ tại chỗ. Nếu các DC đó được sử dụng trong Azure, thì các bản ghi DNS toàn cầu sẽ không được đăng ký (bản ghi nhớ).
lá cờ us
R C
Đây là một thiết lập kế thừa. Các DC trên đám mây dành cho các máy ảo Azure khác, nhưng cũng với mục đích đã nêu là cải thiện khả năng dự phòng... điều này không có nhiều ý nghĩa đối với tôi (nó chỉ hữu ích nếu tất cả các DC tại cơ sở của chúng tôi đều ngừng hoạt động, điều đó sẽ vô cùng xui xẻo)
lá cờ cn
Bất kỳ DC nào cũng có thể phục vụ khách hàng. Thông thường, nếu có một văn phòng chi nhánh/địa điểm nơi một DC chỉ nên phục vụ các máy khách cục bộ, thì các bản ghi DNS SRV và giống như các bản ghi gốc sẽ không được đăng ký. Nếu chúng đã được đăng ký, đó là cách DC quảng cáo tới bất kỳ và TẤT CẢ khách hàng nào sử dụng chúng cho dịch vụ. Có thể tác động đến lưu lượng truy cập bằng chi phí liên kết trang web và cài đặt chính sách, nhưng không thể kiểm soát hoặc ngăn chặn luồng trong môi trường thuần Windows mà không áp dụng một số kiểm soát mạng (tường lửa/IPSEC).
Điểm:0
lá cờ es

Nếu AAD có nghĩa là Azure AD, thì bạn không có gì phải lo lắng. AD và AAD là hai hệ thống hoàn toàn khác nhau, chúng sử dụng một công cụ trung gian (AD connect) để đồng bộ dữ liệu giữa chúng. Về cơ bản, bộ điều khiển miền DNZ của bạn sẽ không biết gì về AAD.

lá cờ us
R C
Bạn hoàn toàn chính xác - có lẽ tôi nên xóa đề cập đến AAD cho rõ ràng... Vấn đề là miền CORP có bốn bộ điều khiển miền - hai trong số đó là tiền đề, hai trong số đó là VM trên Azure. Tôi đã thay đổi câu hỏi và chỉnh sửa văn bản sao cho rõ ràng hơn (trước đó nó chỉ nói rằng chúng tôi có DC tại cơ sở và trên Azure).
4snok avatar
lá cờ es
Bạn có thể kiểm soát lưu lượng tin cậy AD bằng các bản ghi DNS SRV cho CORP DC. https://social.technet.microsoft.com/Forums/en-US/28f8884f-c073-41e0-b2ee-0dbb2dff5a1f/forest-trust-dnsdcs-visibility?forum=winserverDS
lá cờ us
R C
Hơn bạn, những liên kết đó rất hữu ích. Cả liên kết đó và liên kết này, mà chúng dẫn đến một cách gián tiếp, đã giúp trả lời một số câu hỏi cơ bản mà tôi có: https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/domain-locator-across-a-forest-trust/ba-p/395689

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.