Несколько сетевых подключений на контроллере домена Windows 2008 (частная сеть для NAS)

У меня есть сервер Windows 2008, соединяющийся с целью iSCSI на коробке OpenSolaris (yay ZFS!). Я хотел бы создать частную сеть между двумя полями, которая полностью отделена от моего домена Windows.

Каков наилучший способ настройки дополнительного сетевого адаптера на компьютере Windows, чтобы он не думал, что новая подсеть является частью домена Windows? Я хочу убедиться, что Windows волшебным образом не начинает извергать связь с активным каталогом по частному каналу и не начинает отравлять DNS IP-адресами из частной сети.

5 ответов

Правильный способ достижения этого - отсоединение протоколов Microsoft от интерфейса iSCSI. Перейдите к свойствам сетевого подключения и снимите флажки "Клиент для сетей Microsoft" и "Общий доступ к файлам и принтерам для сетей Microsoft".

До:

введите описание здесь

После:

введите описание здесь

Многие из этих шагов были бы немного излишними!

Исходя из моего собственного опыта, все, что мне нужно было сделать для разделения трафика, - это просто отключить шлюз по умолчанию от второго сетевого адаптера (SAN). Windows Server 2008 достаточно умен, чтобы распознавать сеть "Домен" и соответственно маршрутизировать весь трафик домена. Если вы посмотрите на состояние NIC, то, когда WS2K8 делает это, NIC домена фактически отображает DN сети домена. Ваш SAN NIC скажет "Неопознанный".

Вероятно, самый простой способ - использовать конфигурацию "Public Link/Private Link", аналогичную кластерным серверам. Общедоступная ссылка - это подключение к вашему домену Windows, а частная ссылка - к NAS. Хитрость в этой ситуации состоит в том, чтобы настроить частную ссылку с совершенно отличным IP-адресом от подсети, используемой в вашем домене Windows. Например, если ваша сеть Windows работает в подсети 10.0.0.0, вы можете использовать подсеть 192.168.0.0 для частной ссылки. Вы также хотите использовать минимальное количество информации при настройке соединения. Вам нужен только IP-адрес и маска подсети.

Вы можете использовать два других метода:

  • Реализуйте политику IPSec.
  • Добавьте постоянные маршруты в таблицу маршрутизации Windows.

При использовании любого из этих методов вы указали бы, что для любого трафика, связанного с подсетью 10.0.0.0, должен использоваться 10.xxx (введите здесь фактический IP-адрес публичной ссылки), а для любого трафика, связанного с подсетью 192.168.0.0, должен использоваться 192.168.xx (введите фактический IP-адрес частной ссылки здесь). Все эти методы можно использовать вместе, если вы хотите обеспечить дополнительные меры безопасности для предотвращения перекрестного загрязнения.

Можно ли настроить брандмауэр на этом конкретном интерфейсе для фильтрации исходящего трафика активного каталога после выполнения действий, описанных therulebookman?

Так как на это нет ответов, я дам то, что помню. Похоже, сетевой стек Windows достаточно умен, чтобы маршрутизировать этот трафик, зная, какой адаптер имеет IP-адрес в этой подсети. Кроме того, вы можете оставить DNS пустым на частном соединении в настройках TCP/IP в свойствах. Вы также можете перейти в расширенный оттуда и удалить домены, которые он ищет. Это, по крайней мере, оптимизирует поток данных, и я считаю, что именно так мы настроили его при переходе с сервера 2003 на Dell md3000i. Я не заметил ничего сумасшедшего на мониторе трафика, и там проходит немало данных. надеюсь, это поможет.

Тим сделал отличное замечание, я забыл, что это оставить за воротами. Другими словами, как он сказал, просто используйте IP и маску подсети. Но окна заполняют некоторые другие вещи сами по себе, и мне тоже нравится от них избавляться. Еще одна вещь, которую вы можете сделать, чтобы оптимизировать трафик, это удалить все, кроме "TCP/IP" из свойств соединения в соединении SAN.

Другие вопросы по тегам