Etki alanı bilgisayarlarının birbirleriyle iletişim kurmasına izin verme

Etki alanımız yaklaşık 60 bilgisayardan oluşmaktadır. Windows 10 iş istasyonlarının birbirleriyle iletişim kuramadığından emin olmakla görevlendirildim. Yöneticim, bilgisayarların yalnızca ağ yazıcıları, dosya sunucusu, DC ile iletişim kurabilmeleri ve Internet'e erişebilmeleri için statik yollar oluşturmamı istedi.

Tüm bilgisayarlar aynı ağ üzerinde olduğundan statik yolların bu bilgisayarların birbirini görmesini engelleyeceğine inanmıyorum. Etki alanındaki bilgisayarların ağ kaynaklarını kullanmasına, ancak birbirleriyle doğrudan iletişim kurmamasına izin vermenin en iyi yolu nedir?

Bunu destekleyen bir anahtarınız varsa, kablolu bağlantılar için 'korumalı bağlantı noktaları' veya Wi-Fi üzerindeki erişim noktaları için 'istemci yalıtımı' aynı Katman-2 ağındaki ana bilgisayarlar arasındaki trafiği ortadan kaldırmanıza yardımcı olabilir.

Örneğin, bu Cisco anahtar kılavuzundan:

Korumalı bağlantı noktaları şu özelliklere sahiptir: Korumalı bir bağlantı noktası, herhangi bir trafiği (tek noktaya yayın, çok noktaya yayın veya yayın) korumalı bağlantı noktası olan başka bir bağlantı noktasına iletmez. Veri trafiği Katman 2'deki korumalı bağlantı noktaları arasında iletilemez; yalnızca PIM paketleri gibi kontrol trafiği iletilir, çünkü bu paketler CPU tarafından işlenir ve yazılımda iletilir. Korumalı bağlantı noktaları arasında geçen tüm veri trafiği Katman 3 cihaz üzerinden iletilmelidir.

Bu nedenle, aralarında veri aktarımı yapmak istemiyorsanız, 'korunduktan' sonra işlem yapmanız gerekmez.

Korunan bir bağlantı noktası ile korunmayan bir bağlantı noktası arasındaki yönlendirme davranışı her zamanki gibi devam eder.

İstemcileriniz korunabilir, DHCP sunucusu, ağ geçidi vb. Korunmasız bağlantı noktalarında olabilir.

27-07-2017 Güncellemesi
@sirex'in işaret ettiği gibi, istiflenmeyen birden fazla anahtarınız varsa, bunlar neredeyse tek bir anahtar DEĞİLDİR, korunan bağlantı noktaları bunlar arasındaki trafiği durdurmaz .

Not: Bazı anahtarlar (Özel VLAN Katalizör Anahtarı Destek Matrisinde belirtildiği gibi) şu anda yalnızca PVLAN Edge özelliğini desteklemektedir. "Korumalı bağlantı noktaları" terimi de bu özelliği ifade eder. PVLAN Edge bağlantı noktaları aynı anahtardaki diğer korumalı bağlantı noktaları ile iletişimi önleyen bir kısıtlamaya sahiptir. Ancak ayrı anahtarlardaki korumalı bağlantı noktaları birbirleriyle iletişim kurabilir.

Bu durumda Yalıtılmış Özel VLAN bağlantı noktalarına ihtiyacınız olacaktır :

Bazı durumlarda, aygıtları farklı IP alt ağlarına yerleştirmeden bir anahtardaki uç aygıtlar arasında Katman 2 (L2) bağlantısını önlemeniz gerekir. Bu kurulum IP adreslerinin israfını önler. Özel VLAN'lar (PVLAN'lar), aynı IP alt ağındaki cihazların 2. Katmanında izolasyona izin verir. Anahtardaki bazı bağlantı noktalarını yalnızca varsayılan ağ geçidi, yedekleme sunucusu veya Cisco LocalDirector takılı belirli bağlantı noktalarına erişecek şekilde sınırlandırabilirsiniz.

PVLAN çoklu anahtarlara yayılıyorsa, anahtarlar arasındaki VLAN gövdeleri standart VLAN bağlantı noktaları olmalıdır .

Santralleri kullanarak PVLAN'ları anahtarlar arasında genişletebilirsiniz. Ana hatlar, normal VLAN'lardan ve ayrıca birincil, yalıtılmış ve topluluk VLAN'lardan gelen trafiği taşır. Cisco, kanallara giden her iki anahtar da PVLAN'ları destekliyorsa standart ana hat bağlantı noktalarının kullanılmasını önerir.

Cisco kullanıcısıysanız, anahtarlarınızın ihtiyacınız olan seçenekleri destekleyip desteklemediğini görmek için bu matrisi kullanabilirsiniz .

İstemci başına 1 alt ağ yapmak kadar korkunç bir şey yaptıysanız bunu yapabilirsiniz. Bu bir yönetim kabusu olurdu.

Windows Güvenlik Duvarı, uygun ilkelerle bu konuda yardımcı olacaktır. Etki Alanı Yalıtımı gibi bir şey yapabilirsiniz, ancak daha da kısıtlayıcı olabilir. Bir OU'daki sunucular ve bir diğerindeki iş istasyonları ile OU başına kurallar uygulayabilirsiniz. Bunu kolaylaştırmak için yazıcıların (ve sunucuların) iş istasyonlarıyla aynı alt ağda olmadığından da emin olmak istersiniz.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

Ağ yazıcıları ile ilgili olarak - doğrudan yazdırmaya izin vermediyseniz, ancak yazıcıları bir yazdırma sunucusundan paylaşılan kuyruklar olarak barındırdıysanız bunu daha da kolaylaştırabilirsiniz. Bu, birçok nedenden dolayı uzun zamandır iyi bir fikirdi.

Bunun asıl iş hedefinin ne olduğunu sorabilir miyim? Kötü amaçlı yazılım salgınlarını önlemeye yardımcı olmak mı? Büyük resmi / bitiş çizgisini akılda tutmak gereksinimleri tanımlamaya yardımcı olur, bu nedenle her zaman sorunuzun bir parçası olmalıdır.

Her iş istasyonunu belirli bir kullanıcıya bağlayabiliyorsanız, yalnızca o kullanıcının bu iş istasyonuna erişmesine izin verebilirsiniz.

Bir etki alanı ilkesi ayarıdır: yerel olarak doğru oturum açma.

Bu, kullanıcının belirlenen makineye erişmek için en yakın iş istasyonuna gitmesini ve şifresini girmesini engellemez, ancak kolayca algılanabilir.

Ayrıca bu yalnızca Windows ile ilgili hizmetleri etkiler, böylece makinelerdeki bir web sunucusu hala erişilebilir olacaktır.