安全地部署/托管包含DHCP服务器的虚拟域

Question

我最初问了这关于堆栈溢出的问题，并在这里进行了介绍。

使用Hyper-V，我构建了一个专用的windows域，它与我们的主网络隔离。最终，我希望为其他人提供这个域，用于开发和测试，这样他们就可以成为域管理员了。

我的问题是:域控制器运行DHCP服务。如果有人将域部署到他们的Hyper-V主机，并错误地将其连接到主网络，DHCP服务将开始分配错误的IP配置。

我想防止这种情况发生。我考虑编写一个服务来包装dhcploc，如果可以找到远程DHCP服务器，该服务将停止本地DHCP服务。这是真正的损害限制，因为流氓DHCP服务器仍然有一个小的机会窗口。

是否有更好/更简单的选择来实现目标？有什么需要我注意的警告吗？

谢谢

Answer 1

考虑到您的测试DHCP配置使用MAC地址来分配常规IP，您可以将范围限制为只包括已知的MAC地址。这样，即使有人不小心把它放到主网络上，它也不会发出任何in，因为在它的范围内，没有一个请求与任何MACs匹配。至于在主网络上设置测试DC的潜在问题，这取决于以下几点：

1)希望您正在为测试网络使用一个独立的子网，而不是主网络。例如。测试网= 172.16.0.0，主网= 10.0.0.0。这将限制测试DC访问主网络上的东西，只要它不能到达一个知道这两个子网并被设置为在它们之间路由的路由器。2)测试DC是如何创建的？如果它先连接到主网络，通过复制获取AD数据，然后删除并放入测试环境，那么它仍然会知道主网络上的其他DC，并在出现时尝试复制到它们/从它们中复制。这对于明显的reasons...If来说是非常糟糕的--它是在测试环境中创建的，并且有一个与主域名分离的唯一域名，那么您就可以继续了。

我所说的“更大的问题”的意思是，如果人们不小心把do放到主网络上，那么应该有人给他们一些关于使用Hyper-V的培训，而不是试图限制他们的伤害，以防他们这样做！如果我让DEV的人在我的生产network...Could周围玩DC(测试或不测试)，我会非常紧张，你会让他们的超级V工作站在一个完全不同于主网络的子网上更多地分开？

Answer 2

当你说“围起来”时，你到底是什么意思？

如果在同一子网中有两个DHCP服务器，那么将有一些请求发送到一个DHCP服务器，另一些请求转到另一个服务器，当然，如果两个服务器都提供来自同一个池的IP，则会发生冲突。

对于您所描述的情况，我将为您的“隔离”服务器创建一个路由子网，并使用一个VLAN隔离子网，或者您可以使用另一个廉价的交换机进行更多的物理分离。

您的Windows服务器可以是多宿主的(连接到两个或多个网络)。使用两个网卡，您可以将一张卡连接到生产网络，另一张卡连接到单独的网络交换机或单独的VLAN中，从而允许一台服务器充当两个网络的DHCP服务器。或者，根据您最初的问题，如果您想继续操作两个DHCP服务器，则不需要这样做。

然后，在围栏关闭开关或VLAN上，创建一个与生产网络不同的子网。例如：

生产交换机/VLAN: 172.16.0.0/16开发交换机/VLAN: 172.17.0.0/16

生产DHCP服务器可能使用范围为172.16.1.1 - 172.16.1.200 DHCP服务器可能使用172.17.1.1 - 172.17.1.200范围

在生产DHCP范围内，您可以发出一个静态的开发路径，而在开发DHCP范围上，您可以向生产发出一个静态的路径.

如果您的开发区域需要Internet访问，并且Internet只能通过生产网络访问，您可能需要在这两者之间进行一些路由选择。

Answer 3

最简单的办法就是根本没有DHCP。私有虚拟域是否太大以至于无法使用静态IP来管理IP地址？其次，如果人们将DC连接到仅供测试的主网络，您就会遇到更大的问题。我还没有使用Hyper，但至少在VMWare中，您可以分配相当细粒度的权限，防止用户将VM附加到不同的网络或更改它的网络配置。