บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

การตั้งค่าความเชื่อถือให้กับสภาพแวดล้อม AD ด้วย DC ในองค์กรและใน Azure ฉันจะจำกัดทราฟฟิก AD เฉพาะ DC ในองค์กรได้อย่างไร

ธง us
R C

เรากำลังตั้งค่าความเชื่อถือระหว่างโดเมนในสถานที่แบบสแตนด์อโลน (DMZ จากนี้ไป) และโดเมนขององค์กรซึ่งเป็น AD/AAD (ซิงก์) (CORP จากนี้ไป) เพื่อให้ผู้ใช้จาก CORP สามารถเข้าสู่ระบบเซิร์ฟเวอร์ที่เข้าร่วมได้ เขตปลอดทหาร เพื่อให้ชัดเจน พวกมันอยู่ในป่าที่แยกจากกัน

ความตั้งใจของฉันคือการตั้งค่าความน่าเชื่อถือภายนอกที่ไม่สกรรมกริยาจาก DMZ เป็น CORP

ตอนนี้ ประเด็นคือ - โดเมน CORP มีตัวควบคุมโดเมนสองตัวในองค์กร และตัวควบคุมโดเมนสองตัวเป็น VM ใน Azure... ฉันต้องการหลีกเลี่ยงการเพิ่มกฎไฟร์วอลล์สองกฎ (กฎหนึ่งสำหรับ DC ในองค์กร อีกกฎหนึ่งสำหรับ Azure DCs) ฉันจะจำกัดทราฟฟิกโฆษณาใด ๆ จาก DMZ ไปยัง CORP ให้เข้าถึง CORP DCs ภายในองค์กรเท่านั้น มิฉะนั้นจะไม่เป็นที่พึงปรารถนาด้วยเหตุผลใด ๆ นอกจากความซ้ำซ้อน

ฉันเดาว่าเป็นไปได้ หากเป็นไปได้ การดำเนินการนี้จะเกี่ยวข้องกับการกำหนดค่า CORP AD ภายใต้ไซต์และบริการ ซึ่งในกรณีนี้ ฉันอาจมีคำถามตามมาสองสามข้อ :)

ขอบคุณล่วงหน้าและขออภัยสำหรับ noob-ness

37
0 + 0
cn flag
Greg Askew
ฉันไม่แน่ใจว่าเหตุใด DC ใน Azure จึงสามารถเข้าถึงได้จาก DMZ ในสถานที่ หาก DC เหล่านั้นมีไว้สำหรับใช้ใน Azure ไม่ควรลงทะเบียนระเบียน DNS ส่วนกลาง (ระบบช่วยจำ)
0
ตอบกลับ
us flag
R C
นี่คือการตั้งค่าที่สืบทอดมา Cloud DCs มีไว้สำหรับ Azure VM อื่นๆ แต่ยังมีจุดประสงค์ที่ระบุไว้ในการปรับปรุงความซ้ำซ้อน... ซึ่งไม่สมเหตุสมผลเลยสำหรับฉัน (มันจะมีประโยชน์ก็ต่อเมื่อ DC ในองค์กรทั้งหมดของเราหยุดทำงาน ซึ่งจะโชคร้ายอย่างเหลือเชื่อ)
0
ตอบกลับ
cn flag
Greg Askew
DC ใด ๆ อาจให้บริการลูกค้า โดยทั่วไป หากมีสำนักงานสาขา/สถานที่ตั้งที่ DC ควรให้บริการไคลเอ็นต์ภายในเครื่องเท่านั้น เรกคอร์ด DNS SRV และเรกคอร์ดหลักไม่ควรลงทะเบียน หากมีการลงทะเบียน นั่นเป็นวิธีที่ DC โฆษณาให้ลูกค้าทุกรายใช้บริการ เป็นไปได้ที่จะมีอิทธิพลต่อการรับส่งข้อมูลด้วยต้นทุนไซต์ลิงก์และการตั้งค่านโยบาย แต่ไม่สามารถควบคุมหรือป้องกันการไหลในสภาพแวดล้อมวานิลลา Windows โดยไม่ใช้การควบคุมเครือข่าย (ไฟร์วอลล์/IPSEC)
0
ตอบกลับ
Score:0
4snok avatar Server
ธง es
4snok

หากคุณหมายถึง AAD Azure AD คุณก็ไม่มีอะไรต้องกังวล AD และ AAD เป็นสองระบบที่แตกต่างกันอย่างสิ้นเชิง พวกเขาใช้เครื่องมือระดับกลาง (เชื่อมต่อ AD) เพื่อซิงค์ข้อมูลระหว่างกัน โดยทั่วไปแล้ว ตัวควบคุมโดเมน DNZ ของคุณจะไม่รู้อะไรเลยเกี่ยวกับ AAD

0 + 0
us flag
R C
คุณพูดถูก - บางทีฉันควรลบการกล่าวถึง AAD เพื่อความชัดเจน... ปัญหาคือโดเมน CORP มีตัวควบคุมโดเมนสี่ตัว - สองตัวอยู่ในองค์กร และสองตัวเป็น VM บน Azure ฉันได้เปลี่ยนคำถามและแก้ไขข้อความเพื่อให้ชัดเจนยิ่งขึ้น (ก่อนหน้านี้เพิ่งบอกว่าเรามี DCs ในสถานที่และบน Azure)
0
ตอบกลับ
4snok avatar
es flag
4snok
คุณสามารถควบคุมการรับส่งข้อมูล AD trust ด้วยระเบียน DNS SRV สำหรับ CORP DC https://social.technet.microsoft.com/Forums/en-US/28f8884f-c073-41e0-b2ee-0dbb2dff5a1f/forest-trust-dnsdcs-visibility?forum=winserverDS
0
ตอบกลับ
us flag
R C
ขอบคุณ ลิงก์เหล่านั้นมีประโยชน์มาก ทั้งลิงก์นั้นและลิงก์นี้ซึ่งนำไปสู่ทางอ้อม ช่วยตอบคำถามพื้นฐานสองสามข้อที่ฉันมี: https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/domain-locator-across-a-forest-trust/ba-p/395689
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา