Раньше у нас в локальной офисной сети был контроллер домена. Теперь мы переместили серверы в центр обработки данных, и DC находится там, за передовым межсетевым экраном TMG.
Чтобы мои офисные компьютеры могли аутентифицироваться в домене, у меня есть следующие известные мне варианты:
Я могу подключиться к сети серверов центра обработки данных через VPN (шлюз vpn настроен в Forefront TMG) и пройти аутентификацию, как будто я нахожусь в локальной сети с доменом. Как я могу настроить VPN-клиентов в Windows 7 для автоматического подключения через vpn при входе в систему?
Я могу опубликовать интегрированный DNS-сервер Active Directory DC с помощью правила публикации Forefront. Настройте мою локальную сеть для использования этого DNS, чтобы можно было найти DC. И разрешите трафик LDAP через брандмауэр.
Какой из этих подходов лучше?
Вариант VPN лучше, поскольку вы не будете без надобности открывать LDAP внешнему миру.
Замечание: мне нужен хотя бы один контроллер домена на моем локальном сайте. Если ваша ссылка на центр обработки данных обрывается, вы облажались.