安全地部署/託管包含 DHCP 伺服器的虛擬化域
我最初在堆棧溢出時提出了這個問題,並在此處被提及。
使用 Hyper-V,我建構了一個與我們的主網路隔離的私有 Windows 域。最終,我想將此域提供給其他人用於開發和測試,這樣他們就可以成為域管理員。
我的問題是:域控制器正在執行 DHCP 服務。如果有人將域部署到他們的 Hyper-V 主機並錯誤地將其連接到主網路,則 DHCP 服務將開始分配錯誤的 IP 配置。
我想防止這種情況。我考慮編寫一個服務來包裝dhcploc,如果可以找到遠端 DHCP 伺服器,該服務將停止本地 DHCP 服務。這確實是損害限制,因為流氓 DHCP 伺服器仍然有一個很小的機會視窗。
是否有更好/更簡單的替代方案可以實現目標?有什麼我應該注意的警告嗎?
謝謝
鑑於您的測試 DHCP 配置使用 MAC 地址分配正常 IP,您可以將範圍限制為僅包括已知的 MAC 地址。這樣,即使有人不小心將它放在主網路上,它也不會分發任何 IP,因為沒有任何請求匹配其範圍內的任何 MAC。至於在您的主網路上放置測試 DC 的潛在問題,它取決於幾件事:
1)希望您為測試網路使用一個單獨的子網而不是主網路。前任。測試網 = 172.16.0.0 和主網 = 10.0.0.0。這將限制測試 DC 訪問主網路上的內容,只要它無法到達知道兩個子網並設置為在它們之間路由的路由器。2) 測試 DC 是如何創建的?如果它首先連接到主網路以通過複製獲取 AD 數據,然後將其移除並放入測試環境,它仍然會知道主網路上的其他 DC,並在它出現後嘗試複製到它們/從它們複製。由於顯而易見的原因,這是非常糟糕的……如果它是在測試環境中創建的並且具有與主域名分開的唯一域名,那麼你很高興。
我所說的“更大的問題”的意思是,如果人們不小心將 DC 放在主網路上,那麼應該有人給他們一些關於使用 Hyper-V 的培訓,而不是試圖限制損害以防萬一!如果我讓 DEV 人員在我的生產網路周圍使用 DC(測試或不測試),我會非常緊張……您能否讓他們的 Hyper-V 工作站在與主網路完全不同的子網上進一步分離?