none
Изменение типа сети в домене Server 2012R2 RRS feed

  • Вопрос

  • Добрый день!

    Есть VPS резервный контроллер домена 2012R2 в другой стране

    у него 2 сетевые карты - одна физическая с внешним IP

    Вторая - виртуальная сетевая карта OpenVPN

    В настройках брандмауэра есть возможность снять галочки - чтобы AD не работала с сетью "Общественная сеть" 

    Но Windows считает что обе сетевые - это доменная сеть

    Как рассказать Windows что сетевая карта с внешним IP - это общественная сеть а сетевая карточка VPN это доменная сеть ? 


    Или же любое другое решение, которое закроет доступ к AD по внешнему IP , и оставить по VPN
    • Изменено LEXXntu 10 января 2017 г. 7:52
    10 января 2017 г. 7:31

Ответы

  • Windows определяет тип сети как доменный, если с соответствующего адаптера достижим сервер-контроллер домена, с которого были получены групповые политики. Т.к. на контроллере домена этот сервер - он сам, то все сетевые адаптеры на нём определяются как принадлежащие доменной сети.

    Чтобы закрыть доступ к AD извне измените в свойствах правил брандмауэра (в консоли брандмауэр Windows в режиме повышенной безопасности) на контроллере домена их область действия (Scope): укажите там в качестве удалённых IP-адресов вместо всех адресов нужный вам список диапазонов(подсетей).


    Слава России!

    • Помечено в качестве ответа LEXXntu 11 января 2017 г. 7:25
    10 января 2017 г. 9:38
  • Спасибо за ответ!

    уточните пожалуйста, мне нужно найти все разрешающие правила во ВХОДЯХИХ подключениях, и среди них найти все правила в которых написано active directory или LDAP и изменить в них настройки ОБЛАСТЬ изменить настройки локального IP из ВСЕ на локальный IP получаемый  VPN клиентом?

    или что Вы имели в виду?


    LEXX




    • Изменено LEXXntu 10 января 2017 г. 10:12
    • Помечено в качестве ответа LEXXntu 11 января 2017 г. 7:25
    10 января 2017 г. 9:45

Все ответы

  • Windows определяет тип сети как доменный, если с соответствующего адаптера достижим сервер-контроллер домена, с которого были получены групповые политики. Т.к. на контроллере домена этот сервер - он сам, то все сетевые адаптеры на нём определяются как принадлежащие доменной сети.

    Чтобы закрыть доступ к AD извне измените в свойствах правил брандмауэра (в консоли брандмауэр Windows в режиме повышенной безопасности) на контроллере домена их область действия (Scope): укажите там в качестве удалённых IP-адресов вместо всех адресов нужный вам список диапазонов(подсетей).


    Слава России!

    • Помечено в качестве ответа LEXXntu 11 января 2017 г. 7:25
    10 января 2017 г. 9:38
  • Спасибо за ответ!

    уточните пожалуйста, мне нужно найти все разрешающие правила во ВХОДЯХИХ подключениях, и среди них найти все правила в которых написано active directory или LDAP и изменить в них настройки ОБЛАСТЬ изменить настройки локального IP из ВСЕ на локальный IP получаемый  VPN клиентом?

    или что Вы имели в виду?


    LEXX




    • Изменено LEXXntu 10 января 2017 г. 10:12
    • Помечено в качестве ответа LEXXntu 11 января 2017 г. 7:25
    10 января 2017 г. 9:45
  • Да. Только я имел в виду ограничение для удалённого IP-адреса, а не локального.


    Слава России!

    10 января 2017 г. 13:57
  • а есть разница?

    LEXX

    11 января 2017 г. 7:25
  • В вашем случае разницы нет. Когда адрес внутреннего интерфейса снаружи недоступен (не маршрутизируется из интернета, как в вашем случае), то можно делать и так, и так.


    Слава России!

    11 января 2017 г. 9:05
  • Большое спасибо за Ваш ответ! 

    И уделённое время!

    а ну и да ) Героям слава! :)


    LEXX



    • Изменено LEXXntu 11 января 2017 г. 9:53
    11 января 2017 г. 9:52