在开放网络中“隐藏”域

Question

我希望在一个开放的网络中有一个独立的Active部署，以一种不可见的方式作为登录选项或其他未连接的计算机的工作组。目前的计划是：

1. 旋转服务器#1，使其成为PDC
2. 旋转服务器#2，将其DNS设置为PDC，连接域
3. 把它藏起来
4. 利润！

应该禁用什么，这样域连接的服务器就不会为他们的AD/工作组做广告了？

Answer 1

1. PDC/BDC术语随着Active Directory的出现而消失。您拥有的是域控制器。
2. 是什么让你认为广告在网络上以“广告”的方式出现？
3. 即使是“广告”，有什么不同呢？没有有效的AD凭据，就不能将计算机连接到域。

如果你想“隐藏”网络上的任何东西，你需要在你隐藏的东西和你隐藏的人之间设置防火墙。因此-移动您的AD服务器到他们自己的子网和VLAN，然后建立防火墙规则，只允许您需要的流量。

Answer 2

所以我不打算回答这个问题，但是我决定发一个答案来澄清一些事情。

从技术上讲，域控制器将向网络广播地址广播其域的NetBIOS名称服务通信量，这在技术上是正确的，但这与用户登录时计算机“看到”或可用的内容没有任何关系。当用户登录时，未连接到域的计算机将不会“查看”任何可用的域。连接到域的计算机只会“看到”它被连接到的域，或者它自己的域所信任的任何域。

您可能会“看到”网络邻居/我的网络位置中的其他域和工作组，但这些域并没有“广告”到计算机作为潜在的“目标”登录。计算机只能“查看”并登录到它是其成员的域(或由其自己的域信任的域)。

也许你真正想要的是如何禁用网络发现，使计算机(S)在网络中不可见。如果是这样，请在这里读一读：

http://windows.microsoft.com/en-us/windows/enable-disable-network-discovery#1TC=windows-7