Это - очень типичная проблема с VMs, что путешествие во времени (откатывают снимок), у меня есть объект GPO, который фиксирует это, что я заскакиваю в каждый OU, где существуют существующие VMs.
Эта статья MS KB объясняет, что продолжается: Эффекты машины считают репликацию на домене
Вот ссылка на то, как создать объект GPO, который что я упомянул и здесь являюсь другим с некоторыми дополнительными опциями для Вас думать о...
Одна из серий Cisco 55xx, аппаратные брандмауэры ASA должны быть тем, что Вы после.
Вы должны, вероятно, иметь хороший взгляд через их различные спецификации и выбрать ту, которая дает Вам правильный набор функций. (Для меня трудно сделать это, не зная Ваш точный набор в настоящее время). Также выберите тот, который даст Вам комнату для расширения в будущем.
Если бы я должен был предположить, то я сказал бы для выбора 5 520 или 5 540 моделей..
Если Вы захотите Высокую доступность, то Вам будут нужны 2 из них, та поддержка Активная/Резервная конфигурация. Это поддерживается моделями 5520 и выше.
Вы смогли экономить некоторые деньги при наличии портов DMZ на VLAN, который затем распределяется управляемым коммутатором. Тем путем Вы могли соединить несколько магистралью трафик DMZs по единственному порту с виртуальным интерфейсом (Вы могли сделать это на своем поле FreeBSD также, мог бы сохранить Вас имеющий необходимость иметь квадратический сервер порта NIC.) [YMMV на этом бите, хотя]
Я уточню какой описание Kyle:
Вам нужен брандмауэр, который понимает 802.1q маркирование VLAN. Идеально это будет иметь по крайней мере один гигабитный интерфейс.
Вам нужен переключатель, который также говорит 802.1q маркирование VLAN.
Теперь - настраивают каждый из Ваших DMZs и связывают каждую демилитаризованную зону с другим 802.1q тег, позволяет, говорят, что теги равняются 10, 20, 30, и 40.
Теперь, добавьте все те теги к одному интерфейсу на брандмауэре (таким образом создающий "магистраль VLAN") и выполните ту "соединительную линию" к переключателю, которому также связали те теги VLAN с тем портом.
Теперь, поместите несколько других интерфейсов, с которых снимают метку на каждый VLAN, и подключите те порты, с которых снимают метку, к главным компьютерам.
Теперь Ваш брандмауэр имеет эксклюзивный доступ ко всем тегам и может осуществить ACLs, которые препятствуют тому, чтобы одна подсеть получила доступ к любой другой подсети демилитаризованной зоны.
В зависимости от Ваших потребностей безопасности, если у Вас есть хороший современный переключатель, можно сделать каждый dmz VLAN и просто использовать один порт и затем иметь правила, разделяющие каждый dmz на маршрутизаторе.
Существуют аргументы против этого, хотя, раньше были способы обойти VLAN (скачкообразное движение VLAN), но я думаю, что нет ничего текущего. Кроме того, неверная конфигурация переключателя могла привести к дыре в системе безопасности.