我原来在堆栈溢出问这个问题,并在这里提到。
使用Hyper-V我build立了一个私人的Windows域,它被隔离在我们的主networking之外。 最终,我想configuration这个域供其他人用于开发和testing,所以他们可以是域pipe理员。
我的问题是:域控制器运行DHCP服务。 如果有人将域部署到其Hyper-V主机并错误地将其连接到主networking,则DHCP服务将开始分配错误的IPconfiguration。
我想阻止这种情况。 我考虑编写一个服务来封装dhcploc ,如果能够find一个远程的DHCP服务器,这个服务就会停止本地的DHCP服务。 这是真正的损害限制,因为stream氓DHCP服务器仍然有一个小窗口的机会。
是否有一个更好/更简单的替代scheme来实现这个目标? 有什么需要注意的吗?
谢谢
考虑到您的testingDHCPconfiguration使用MAC地址分配常规IP,您可以限制范围只包含已知的MAC地址。 这样,即使有人不小心将其放在主networking上,也不会分发任何IP,因为没有任何请求与其范围内的任何MAC相匹配。 至于在您的主networking上testingDC的潜在问题取决于几件事情:
1)希望你使用一个单独的子网作为testingnetworking,而不是主networking。 防爆。 testing网= 172.16.0.0和主网= 10.0.0.0。 这将限制testingDC访问主networking上的东西,只要它不能到达知道两个子网并且被设置为在它们之间路由的路由器。 2)testingDC是如何创build的? 如果首先连接到主networking,通过复制获取AD数据,然后移除并放入testing环境,则它仍然可以知道主networking上的其他DC,并在尝试复制到其中。 这是非常糟糕的,原因很明显…如果它是在testing环境中创build的,并且具有独立于主域名的唯一域名,那么您很好。
我所说的“更大的问题”是,如果人们不小心把DC放在主networking上,那么有人应该给他们一些使用Hyper-V的训练,而不是试图限制他们的损害! 如果我的DEV人员在我的生产networking周围玩DC(testing与否),我会感到非常紧张…您能否将他们的Hyper-V工作站与主networking完全分离在不同的子网上?
当你说“围起来”时,你究竟是什么意思?
如果你在同一个子网上有两台DHCP服务器,那么你将有一些请求去往一台DHCP服务器,有些请求去往另一台,当然,如果两台服务器都从同一个池中提供IP地址,就会发生冲突。
对于你描述的情况,我会为你的“隔离”服务器创build一个路由子网,并使用一个VLAN隔离子网,或者你可以使用另一个便宜的交换机进行更多的物理隔离。
您的Windows DHCP服务器可以是多宿主(连接到两个或多个networking)。 使用两块网卡,可以将一张卡连接到生产networking,并将另一张卡连接到单独的networking交换机或单独的VLAN,从而允许一台服务器充当两台networking的DHCP服务器。 或者,根据您的原始问题,如果您想要继续运行两台DHCP服务器,则无需执行此操作。
然后在被隔离的交换机或VLAN上,创build一个与生产networking不同的子网。 例如:
生产交换机/ VLAN:172.16.0.0/16开发交换机/ VLAN:172.17.0.0/16
生产DHCP服务器可能使用范围172.16.1.1 – 172.16.1.200开发DHCP服务器可能使用范围172.17.1.1 – 172.17.1.200
在生产DHCP范围内,您可以将静态路由发送到开发,并在开发DHCP范围内,您可以将静态路由分发到生产….
例如,如果您的开发区域需要Internet访问,并且只能通过生产networking访问Internet,则可能需要在两者之间进行一些路由。
最简单的事情是没有DHCP。 私人虚拟域如此之大,以至于无法使用静态IP来pipe理IP地址? 其次,如果人们将DC连接到你的主networking,那么你就会遇到更大的问题。 我还没有使用Hyper-V,但在VMWare中,至less可以分配相当精细的权限,以防止用户将VM挂接到其他networking或更改其networkingconfiguration。