Hyper-V主机是否应该加入域

有两个与Hyper-V相关的主题，我不再讨论。这不是因为我不喜欢你，也不是因为我怀疑你确实处于危机之中。这是因为我相信警告标志的聚宝盆已经存在了很长时间，以至于您可以轻松避免陷入困境，并且在帮助您继续目前的道路上投入的任何时间都不会产生积极的回报。这些主题的第一个是直通磁盘。停止使用它们，您将不再遇到麻烦。它真的是那么简单。第二个是本文的主题：工作组模式下的Hyper-V主机。我试图找到中毒的泉源，其判断模糊的偏见导致许多管理者做出这个不幸的决定，但结果却是空虚的。我看到很多人在解释如何做，这给实践带来了不当的信誉。我意识到我也为此做出了贡献；人们想知道如何做，所以我谈到了如何做。但是，我找不到具有任何公认权限级别的人声称Hyper-V主机应该从域中排除。现在，我们作为一个社区开始宣告将Hyper-V主机置于工作组模式的行为是不明智的做法。

例外情况

这个行业中很少有固定规则，而Hyper-V的域与工作组决策并不是少数几个。不将Hyper-V主机加入域的一些可靠原因：

• 您没有网域。如果没有适合您的域，那么我不会为Hyper-V创建一个域。家庭系统就是很好的例子。很小的网络就是很好的例子。Hyper-V主机是唯一的Microsoft服务器系统的网络就是很好的例子。
• 所有来宾都位于DMZ中，并且您不想将物理单元连接到内部网络。在我的职业生涯中，我已经对基于DMZ的系统做了相当多的尝试，但我并不真正相信这个理由很可靠。Hyper-V主机及其来宾可以完全彼此隔离，因此，当一个或多个来宾完全位于DMZ中时，不会存在使主机存在于受保护的内部网络上的有意义的风险。就是说，该原则并非完全没有优点，如果让您的安全人员更开心，那么它可能是值得的。但是，如果主机位于DMZ中，则必须将其与DMZ中的任何其他计算机一样对待；否则，主机将被视为DMZ。这意味着您无法执行远程管理它必须执行的任何降低安全性的任务。

即使上述情况之一适用于您，您的解决方案也应该是将端口3389上的防火墙打开到指定的源，启用远程桌面，并在RDP会话中使用主机。

响应将Hyper-V主机留在域外的常见原因

就像很难找到推荐这种配置的专家一样，很难找到给出为什么要选择此路线的人。我不能说他们是否认为每个人都这样做，是否只是在追随人群，还是他们已经将自己锁定在特定的行动过程中，而理性和逻辑没有发挥作用。我确实找到了一些解释，所以我们将直接解决它们。

误解1：将Hyper-V主机置于域外可提高安全性

在我之后重复一遍：绝对没有任何条件可以使工作组配置比域配置更安全。您的域的安全性可能很糟糕，但是将任何已连接的系统放在工作组中只会使一切变得更糟。如果随后进行下一步配置主机，以便可以通过MMC控制台对其进行远程管理，则已将其安全性降低到了对工作组系统的本能保护之下。

• 使用TrustedHosts配置都降低安全性。这样做是告诉系统：“任何声称在此列表中具有名称的计算机，实际上就是任何计算机，请完全信任它”。观看计算机名称通过广播在网络上传播，确定谁与谁进行通信，然后欺骗名称，这非常简单。
• 对远程工作组连接的计算机进行身份验证需要在每个连接上将完整的凭据集传递到目标系统。如果身份验证通信被拦截，则可能会受到危害。我不太涉猎黑/白帽子技术，所以我不确定，但是如果简单地复制响应数据包也能正常工作（因为通过TrustedHosts绕过了机器身份验证），我不会感到惊讶。
• 您必须在DCOMCNFG中做些修补？所有这些都降低了安全性。我什至不喜欢授予对匿名用户的读取权限，在这里，有些人授予了它管理权限。

我敢肯定，这个神话来自某个好心人。可能有人在想，如果他们的Hyper-V主机遭到破坏并且是该域的成员，则该域也将同样受到破坏。检查它是什么。如果属实，则出于完全相同的原因，任何计算机都不应加入任何域。想想如果会发生什么域成员遭到入侵。风险是一样的。如果连接工作组的Hyper-V主机甚至在运行一个加入域的虚拟机，那么对主机的成功攻击将使其主机加入域的状态无关紧要。也许有人认为相反。如果该域被盗用，而Hyper-V主机不属于该域，则Hyper-V主机将不受影响。在所有其他条件相同的情况下，破解域安全性比破解工作组安全性要困难得多。如果有人闯入您的目录，他们将在需要时立即拥有您的工作组主机，特别是如果您已执行了远程连接所需的所有降低安全性的步骤。

为了揭开这个神话，如果我正在采访一名系统管理工作候选人，并且那个人说他/他选择工作组模式来处理除故意直接暴露给Internet的角色以外的其他任何事情，原因是工作组模式比域模式更安全，该人将不会被雇用。用“但仅限于Hyper-V”来限定它是荒谬的。

误区2：Hyper-V域控制器的误区

我经常处理此类问题，但令我感到沮丧的是，它们似乎并没有失去力量。如果您不熟悉我在说什么，那么会有一些涉及Hyper-V和域控制器的神话，所有这些前提的基本前提是，如果Hyper-V主机无法访问域控制器，关键的东西行不通。这些概念中的每一个都是错误的。这不是我希望进行讨论的帖子，因此，我只想简单地谈一下。Hyper-V不需要启动域控制器。它不需要域控制器来启动其来宾。它不需要域控制器即可允许您使用本地凭据登录。如果您的域中启用了缓存凭据功能，Hyper-V不需要域控制器就可以使用这些缓存的凭据登录。Hyper-V唯一绝对需要域控制器的时间是在利用SMB 3存储上的虚拟机时。将Hyper-V主机排除在域外将使其根本无法使用SMB 3存储，因此这不是解决问题的方法。

误区三：DMZ问题

许多人将面向Internet的系统（例如Web服务器和Exchange Edge服务器）置于域外。这是有道理的，因为这样的单元上的操作系统可能会受到威胁，而任何本地凭据存储都将被破解，这是极微不足道的机会。活动的通信会话也可能会受到影响。由于这些角色中的某些角色具有穿越防火墙进入受保护网络的遍历路径，因此凭据或会话受到破坏对于环境而言将极为危险。在插图中：

边缘遍历

Web服务器/ SQL服务器组合就是一个类似的例子。Web服务器位于域的外部，但是具有通向内部SQL Server的隧道。将这些主机保留在域之外，这样从理论上讲，绝不会危及域凭据，这绝对是一种有效的安全措施。将这些内容移出域与将您的Hyper-V主机移出域之间有一个关键的区别：管理员必须采取其他步骤，以确保不会在Web或电子邮件主机中留下任何敏感信息。 DMZ。没有人谈论过将Hyper-V排除在域之外，从来没有提出过加强主机以防入侵的话题。他们谈论的只是削弱了安全性，因此可以对其进行远程管理。

不幸的是，当那些基于DMZ的系统驻留在Hyper-V主机上时，一些管理员在全貌上遇到了麻烦。实际上，只要您的网络分段正确完成，该图仍与上图完全相同。但是，这些管理员可能不会在精神上将Hyper-V主机与其来宾区分开；对他们来说，做客的妥协也主机的妥协。这不是虚拟化的工作原理。

误解4：工作组模式是保护Hyper-V免受不良组策略的唯一方法

秘密的是，有几个组策略可能会导致Hyper-V出现问题。这几乎不是将其从域中排除的原因。缓解事实：

• 正如我之前所说，这些政策不是秘密的。不要覆盖“ 创建符号链接”策略。实际上，“用户权限分配”下的大多数内容都可能会破坏某处的某些内容，因此在设置域策略时，请勿进入该分支。如果使用的是iSCSI，请不要启用强制禁用该策略的策略。
• 引起Hyper-V问题的组策略设置也会引起其他问题。如果您有违反Hyper-V的策略，那么打破其他问题只是时间问题。正确的答案是修复策略，而不是将事情遗忘在域外。
• Active Directory具有使这些问题不再存在的功能。查看组织单位，如果确实遇到问题，请查看Block Inheritance。理想情况下，您的Hyper-V主机将位于其自己的OU中。如果您可以将它直接附加到根域OU，那是最好的。如果将其附加到子OU，则该子OU的策略可以逆转来自父级的策略。

惩罚自己并降低Hyper-V主机的安全性不是解决配置错误的域的正确方法。所有这些事情都会增加您的管理负担，从而减少您可用于解决问题的时间。

域与Hyper-V的真相

要了解将Hyper-V主机插入域后一切正常的原因，您需要深入了解Active Directory，工作组模式和虚拟化基础知识。我将从虚拟化开始，因为它是最重要的部分，它解释了为什么DMZ问题主要是一个神话。

虚拟化就是隔离

将系统放入DMZ的全部目的是使它们与敏感系统尽可能地分开。不管人们是否意识到它，要使系统与虚拟机管理程序内部空间的分离程度相比，都很难。我经常希望分区一词在虚拟机管理程序词典中不失受欢迎。这是您应该如何考虑虚拟机管理程序，其管理操作系统及其访客的方式：

虚拟机监控程序分区

这些机器除了Hyper-V主机外没有其他共同点。实际上，这  就像在同一数据中心中有很多物理服务器。这就是虚拟化是什么是。是的，这里有VMBus之类的东西，因此管理操作系统并未与来宾完全断开连接，但是VMBus有任何已知的利用方法吗？我听说有人修补了一个“可能的”折衷方案。如果存在任何尚存的问题，那么您期望域成员资格有什么不同？这种分隔至少与使用通用机架，冷却，电源和交换设备将所有服务器放在同一个房间中一样好。以下是一个完全有效的配置：

域和DMZ一起

在上图中，唯一未加入域的系统是Web服务器。它对SQL Server的唯一访问是通过防火墙。从功能上讲，此配置与我之前向您展示的Edge映像没有什么不同。唯一的区别是，我们所讨论的是虚拟系统，而不是物理系统。第一个映像中的Edge系统很可能是位于受保护网络上的加入域的Hyper-V主机的访客。尽管这些图中未显示，但您可以根据需要使用专用的NIC托管仅DMZ的虚拟交换机。这样，域系统和DMZ系统的网络不需要共享任何公共的物理网络路径。但是，VLAN应该也能正常工作。

这种构建的好处在于，只有 Web服务器才暴露给Internet。您根本不需要将Hyper-V主机放置在DMZ中。如果您仍然决定采用这种方式，请确保不要在Hyper-V主机上进行任何降低安全性的设置，以便可以对其进行远程管理。您将获得RDP。

工作组模式的现实

工作组模式本质上是不安全的。从许多方面来看，它都是从没有域控制器的时代开始的时代错误。它幸存到早期域的原因有很多：Microsoft和向后兼容或多或少是同义词，没有硬件共享的虚拟化，服务器级硬件是如此昂贵，以至于“入门级服务器硬件”一词甚至还没有被创造出来。许多公司只是负担不起域控制器的数千美元支出，因此他们跳过了。那时，Microsoft的操作系统安全性应受到大多数嘲笑。即使这样，Microsoft确实只能走得很远，以允许工作组的成员共享某些内容，例如Word文件。如果他们曾经打算让一个工作组系统处理由另一个工作组管理或由另一个工作组管理的任务，我当然会错过这份备忘录。这是对等网络中这个词的真正意义上的网络同行。

如果要管理远程工作组系统而必须做的所有事情都感觉像是肮脏的骇客，那是因为它们是肮脏的骇客。在当今的时代，当Microsoft努力工作以修复其安全性做法和流程时，指望它们允许任何人破坏他们花费大量时间进行的隔离墙是不切实际的。尽管他们从2016年开始进行了一些更改，这些更改将以某种方式同时改善远程工作组管理的便捷性，但您仍将启用降低安全性的肮脏黑客，以使Hyper-V主机在工作组模式下可管理。

域的现实

域是分层Microsoft网络的方式。当Hyper-V甚至只有一个来宾出现时，环境将自动分层。没有什么比这更令人费解的了。我想每个人都知道这部分。

话虽如此，每台计算机仍然是自己的实体。其中包括Hyper-V主机。我知道对于很多人来说，这是一个概念上的挣扎点。我忘了尝试发脾气的次数，试图向供应商解释，如果我将域帐户放入本地Administrators组，则该帐户就是本地管理员。我认为，对Windows安全模型缺乏了解是导致许多管理员执行他们所做的某些事情的原因。当您将计算机加入域时，其本地安全性会通过多种方式进行更改。域管理员成为本地管理员，依此类推。但是，仍然保留本地帐户。服务将继续在“ LocalSystem”帐户下运行。LocalSystem和其他内置帐户的身份未更改。保留本地安全帐户管理器（SAM）数据库，其中包含一些新条目。组策略是从域强制实施的，但是强制实施利用本地计算机上的现有机制。简而言之，本地计算机不会仅仅因为它是域的一部分而不再作为唯一实体存在。本地凭据仍然有效。加入域允许您离开对等网络，在该对等网络中必须牺牲安全性才能启用远程管理，并进入一个分层环境，在其中可以轻松建立上级/下级关系而无需放弃任何保护。

域和Hyper-V的好处

以上所有内容的总结本身就是您从加入域（而不是将其遗忘）中获得的几个好处：

• 大大简化了远程管理。一切正常。不需要说明页面和说明页面。防火墙端口会自动打开，帐户已经存在，除了遵循行业最佳实践之外，您无需执行任何其他操作。
• 大大提高了安全性。您的域可以在Hyper-V主机上施加的控制与任何其他成员服务器相同。您可以具有一个组策略，该策略可以在主机成为成员时锁定主机。您可以添加和删除域帐户以及操作本地帐户，而无需再次直接触摸Hyper-V系统。您可以使用到期的Kerberos票证进行身份验证，而不是传输有效的用户名/密码组合，直到有人记住他们应该偶尔更改密码（读：从不）。当您的Hyper-V主机接受来自远程计算机的连接时，它可以确保域控制器远程计算机就是它所说的真实身份。安全的DNS注册有效。
• 相对于GUI Windows Server，使用Hyper-V Server或Windows Server Core的动机更强。如此多的事情由中央控制，几乎消除了直接访问任何单个Hyper-V主机的需要。我们都被告知，并且应该理解，无GUI系统提供了安全优势。大量的历史证据表明，工作组系统的远程管理将在某个时候中断，如果您唯一的控制选项是RDPing到命令行，您会感觉如何？
• 所有功能均有效。无共享实时迁移需要域成员身份。SMB 3共享需要域成员身份。从企业证书颁发机构向域成员分配SSL证书，使其可以参与安全的Hyper-V副本，所需时间仅为其他方法的一小部分。

是时候了。 添加计算机并重新获得生活。