在本地和 Azure 中設置對具有 DC 的 AD 環境的信任，如何將 AD 流量限制為僅本地 DC？

我們正在獨立的本地域（從現在開始為 DMZ）和作為 AD/AAD（同步）（從現在開始的 CORP）的公司域之間建立信任，以便來自 CORP 的使用者可以登錄到加入的伺服器非軍事區。需要明確的是，它們位於不同的森林中。

我的目的是建立一個從 DMZ 到 CORP 的外部非傳遞信任。

現在，問題是 - CORP 域有兩個本地域控制器，以及兩個域控制器作為 Azure 中的虛擬機……我想避免添加兩個防火牆規則（一個用於本地 DC，一個用於Azure DCs。）我如何限制從 DMZ 到 CORP 的任何 AD 流量只到達本地 CORP DCs，或者除了冗餘之外的任何原因都不需要這樣做？

我猜如果可能的話，這與站點和服務下的 CORP AD 配置有關，在這種情況下，我可能會有一些後續問題:)

在此先感謝並為菜鳥道歉。

如果 AAD 是指 Azure AD，那麼您無需擔心。AD 和 AAD 是兩個完全不同的系統，它們使用中間工具（AD 連接）在它們之間同步數據。基本上，您的 DNZ 域控制器對 AAD 一無所知。

引用自：https://serverfault.com/questions/1099575