У нас есть контроллер домена (Windows Server 2008), в котором есть учетные записи всех наших сотрудников с их перемещаемыми профилями.
Я изучаю варианты для удаленных сотрудников, использующих ноутбуки. Пользователи делили между собой несколько ноутбуков и каждый раз брали с собой другой ноутбук.
Было бы разумно подключать ноутбуки через 3G через VPN к офисному серверу? Затем пользователи переносили все свои файлы и т. Д. На ноутбук, как если бы они сидели за своим столом. Однако скорость соединения может вызвать проблемы.
Можно ли подключить ноутбук к домену через VPN без добавления дополнительных серверов или серверного ПО?
Хотя возможно, что вы можете использовать этот сервер в качестве концентратора VPN, я рекомендую вам посмотреть на то, чтобы сделать это на периферии, используя клиентский брандмауэр с поддержкой VPN, такой как Sonicwall, Cisco ASA, Checkpoint и т. Д. Разрешите им подключиться к устройству, авторизован через LDAP или Radius с вашими именами пользователей и паролями Active Directory. Затем они могут использовать этот туннель для доступа к внутренним ресурсам.
Я бы не стал использовать контроллер домена в качестве конечной точки VPN, слишком много проблем с безопасностью.
Хотя вы, безусловно, можете использовать контроллер домена для своей VPN, обычно не рекомендуется делать это, если у вас есть другие варианты. Настройка VPN на контроллере домена ничем не отличается от настройки любого другого сервера Windows.
С учетом ваших требований проблема, с которой вы сталкиваетесь, заключается в том, что ничто не может помешать пользователям войти в свои ноутбуки до подключения к VPN. Хотя это можно предотвратить, но, как правило, ноутбуки становятся менее удобными.
Эта проблема одинакова независимо от того, находится ли VPN на маршрутизаторе или на сервере. Если вы хотите применить политику принудительного подключения ноутбука к VPN до использования входа в систему (никогда этого не делал, не спрашивайте меня, как), VPN все еще может оставаться на маршрутизаторе. Важен именно сервер аутентификации, а не то, что / на котором размещается VPN, если клиентские машины могут разговаривать с DC при подключении.