几年来,我一直在 AWS 上运行四台服务器。这是一个业余爱好项目。所有服务器都位于同一 VPC 的同一子网中。
为了简化帐户和权限的管理,我决定使用 Active Directory。这意味着安装域控制器。文档表明要使用 AWS 域控制器服务,域控制器必须位于 VPC 的私有子网中。继续研究私有子网,这是一个我不熟悉的术语,我了解到私有子网中的 EC2 必须位于 NAT 网关之后——或者至少这是一个强烈的建议。
将域控制器放在 NAT 网关后面的私有子网中的建议显然是基于所提供的安全优势。这引出了我的问题:这些安全优势究竟是什么?
这就是为什么我问...
我现有的四台服务器都有一个私有 IP 和一个可路由(“弹性”)IP,但防火墙阻止任何人连接到后者,除非我创建了一个允许它的安全规则。为什么这对于域控制器会有所不同?我知道 DC 只会被我网络上的服务器使用,而永远不会被 Internet 上的随机外部方使用,但是除非我创建相反的入站安全规则,否则这不会只是默认状态吗?将这些 DC 与它们自己的 NAT 网关隔离在一个隔离的子网上有什么意义?它似乎增加了复杂性,但没有真正的好处。那么,想必是一个颠倒,我只是不知道它是什么,所以我的问题。
(我是业余爱好者,不是专业人士,所以如果你觉得这个问题更适合超级用户,我会删除并在那里重新发布。我只是想,因为它与服务器相关,这个网站可能更合适。)
nat domain-controller amazon-web-services windows-server-2016
我在单个 VPC 的公有子网上有五台 AWS 服务器,每台服务器都有自己的弹性 IP 地址。子网为 10.0.0.0/24。一台服务器是Win2016域控制器。其余四个是该域的 Win2016 成员。
我想稍微重新组织一下,将许多服务器放置在新创建的私有子网上,通过 NAT 网关为它们提供出站 Internet 访问。新子网将为 10.0.1.0/24。
两个子网均位于同一可用区(北加州)的同一 VPC 中。
我计划移动到私有子网的服务器之一将是域控制器。当域控制器在新的子网中重新启动时,它自然会拥有一个新的 IP 地址。我的问题是:
成员服务器如何知道域控制器的新IP地址?这仅仅是更改手动 DNS 条目以指向新域控制器的地址的问题还是还有更多的事情要做?请注意,域名称和域控制器名称均未更改。我只是将域控制器移动到同一 VPC 中新创建的子网,因此尽管 DC 的 IP 会因位于新子网上而发生变化,但其他一切都保持不变。
我需要对域控制器本身进行配置更改吗?在研究这个问题时,我遇到了一些场景(不太像我的),其中需要调整域控制器的“站点和服务”应用程序以通知 DC 与“站点”关联的新子网。鉴于我只有一个物理站点,这是否适用于我?
active-directory domain-controller amazon-web-services windows-server-2016