公共域加入專用伺服器上的 Active Directory

伺服器環境

• 作業系統：Windows Server 2016 標準版（桌面 XP）
• 託管：專用伺服器
• 網卡：1 個帶有靜態公共 IP 的網卡
• 角色：Active Directory 域服務和 DNS

客戶端環境

• 作業系統：Windows 10 x64
• 託管：專用伺服器
• 網卡：1 個帶有靜態公共 IP 的網卡

網路

• 防火牆：不可能
• VLAN：不可能
• VPN：不可能

場景

客戶端必須加入 Active Directory Server。伺服器和客戶端都有一個帶有公共 IP 的 NIC。如果沒有 VPN 伺服器，我怎麼能做到這一點？是否可以從公共加入 DC？我怎樣才能使它安全？是否可以將伺服器上客戶端的 IP 列入白名單以加入 DC？

感謝幫助

如果沒有防火牆，VLAN和VPN都不可能，那麼你就有一個巨大的安全問題，可能的解決方案是：

1. 使用啟用了 Hyper-V 的單個主機伺服器，將 DC 和 Windows 10 作為 VM 執行，並讓它們通過專用的虛擬交換機進行對話。
2. 如果您必須保持環境不變，請讓負責伺服器的人員在內部使用專用 NIC 連接它們，並通過禁用“Microsoft 網路客戶端”、“Microsoft 網路的文件和列印機共享”和“TCP/IP 上的 NetBIOS”。

請記住，這些都不是最好的解決方案，我建議將您的 AD 託管在不暴露於 Internet 的安全網路中，也許最好轉移到另一個託管商（假設您有這麼多限制）或 Azure Ad？

引用自：https://serverfault.com/questions/877060