Не мой хлеб с маслом, поэтому я надеюсь, что буду достаточно ясным. У меня есть множество рабочих станций с Windows 7, работающих за брандмауэрами. У меня есть Active Directory внутри моей корпоративной организации за брандмауэром. Я очень ограничен в том, что я могу сделать с брандмауэром ... открытие одного или двух портов может быть хорошим, но это все.
В итоге мне нужно централизовать моих пользователей и политики через Active Directory. Могу ли я сделать это через VPN? как будет проходить первая аутентификация?
Могу ли я сделать это через SSH-туннелирование (предположим, что у меня есть соответствующая инфраструктура, которая, очевидно, может работать только после входа в систему)?
Спасибо
Первое, что вам нужно сделать, это присоединить каждую рабочую станцию к домену. Для этого каждая рабочая станция должна иметь возможность связываться с интегрированным DNS-сервером Active Directory (это контроллер домена). Что ты абсолютно не должен делать - это открытые порты для незашифрованного трафика AD от удаленных рабочих станций к контроллеру домена. Это такая плохая идея, что я даже не собираюсь ее обсуждать.
Могу ли я сделать это через VPN? как будет проходить первая аутентификация?
Да, вы можете использовать VPN. Если вы это сделаете, каждую рабочую станцию необходимо сначала подключить к Интернету, затем пройти аутентификацию с помощью локальной учетной записи или учетной записи AD с использованием кэшированных учетных данных, а затем пройти аутентификацию в VPN. Это неправильный способ сделать это. Я видел, как многие люди пытались сделать это таким образом, и, пожалуйста, ради любви ко всем ИТ-администраторам, не делайте этого. Вы только создадите больше проблем, которые нужно будет исправить позже. Что еще более важно, это будет ужасно работать. :)
Лучшими вариантами являются использование VPN типа «сеть-сеть» в каждом офисе, где есть рабочие станции, подключенные к домену, или оплата вашего интернет-провайдера за установление канала уровня 2 между каждым офисом и главным офисом, где находится контроллер домена.
Лучшее решение - иметь DC в каждом офисе, а затем подключать каждый офис с помощью цепи уровня 2 к главному офису. Аутентификация и обновления AD происходят на каждом локальном DC, и локальные DC синхронизируют изменения с DC в главном офисе через цепи уровня 2.
Рекомендации по продукту не относятся к теме отказа сервера, но суть в том, что вам необходимо установить связь между каждой рабочей станцией и контроллером домена. Другой способ сделать это - подключить каждую рабочую станцию к сети, в которой находится контроллер домена, и присоединить рабочую станцию к домену, но на самом деле это неправильный способ справиться с этим. Если вы собираетесь разместить эти рабочие станции в удаленных местах и вам нужно, чтобы они были присоединены к домену, вы можете исследовать VPN типа «сеть-сеть» и схемы второго уровня, которые вы можете купить у своего текущего интернет-провайдера.