AD內網架構設計

ad規劃

hsiang11 2020-08-06 23:25:39 ‧ 1512 瀏覽

分享至

遇過一個特別的需求
公司內部有一個隔離的內網
內網-獨立且不能上網只能區網連線
外網-可上網但是又不能切入內網的區域
公司的前人作法是內網一台AD 又建立外網一台AD各管各的網段
沒有做到多台DC

我在看過這設計後覺得這規劃是錯的
是否可以做到一個AD網域同時管理內外網需求
又維持內外網隔離需求

看更多先前的討論...收起先前的討論...

兩津勘吉 iT邦新手 4 級 ‧ 2020-08-06 23:31:34 檢舉

這跟AD架構沒啥關聯.... 這是網路架構的問題，最簡單的方式用 firewall來管

froce iT邦大師 1 級 ‧ 2020-08-06 23:36:11 檢舉

> 我在看過這設計後覺得這規劃是錯的

為啥你會覺得他錯？
你只要同一台DC連兩個網段就不符合你外網的要求了啊。
如果你要兩個網段設定同步又內外網隔離，可能兩台DC中間加一條專用連線，然後用netmask切或是用防火牆去做防護，這樣應該比較可行，至少中間還有防護手段。

hsiang11 iT邦好手 1 級 ‧ 2020-08-06 23:36:37 檢舉

那AD主機兩張網卡應該可以解決兩邊設備

艾慢跑 iT邦新手 5 級 ‧ 2020-08-07 09:37:14 檢舉

建議用FW來管理，簡化問題點

窮嘶發發發 iT邦高手 1 級 ‧ 2020-08-07 09:43:21 檢舉

內網-獨立且不能上網只能區網連線，你從防火牆把那堆不能上網的機器的MAC全部鎖死，這樣還能上網嘛，還有你有鎖 USB 嘛，你以為內部設備鎖住了，他裝張五十元的無線網卡，連上手機的無線分享，不就能上網了，你這個問題如果是糾結不能上網，你就要去思考所有防堵的手段，切兩個網段也不一定能阻止USER用其他手段上網

登入發表討論