Active-Directory
在本地和 Azure 中設置對具有 DC 的 AD 環境的信任,如何將 AD 流量限制為僅本地 DC?
我們正在獨立的本地域(從現在開始為 DMZ)和作為 AD/AAD(同步)(從現在開始的 CORP)的公司域之間建立信任,以便來自 CORP 的使用者可以登錄到加入的伺服器非軍事區。需要明確的是,它們位於不同的森林中。
我的目的是建立一個從 DMZ 到 CORP 的外部非傳遞信任。
現在,問題是 - CORP 域有兩個本地域控制器,以及兩個域控制器作為 Azure 中的虛擬機……我想避免添加兩個防火牆規則(一個用於本地 DC,一個用於Azure DCs。)我如何限制從 DMZ 到 CORP 的任何 AD 流量只到達本地 CORP DCs,或者除了冗餘之外的任何原因都不需要這樣做?
我猜如果可能的話,這與站點和服務下的 CORP AD 配置有關,在這種情況下,我可能會有一些後續問題:)
在此先感謝並為菜鳥道歉。
如果 AAD 是指 Azure AD,那麼您無需擔心。AD 和 AAD 是兩個完全不同的系統,它們使用中間工具(AD 連接)在它們之間同步數據。基本上,您的 DNZ 域控制器對 AAD 一無所知。