Назад | Перейти на главную страницу

Возможен ли облачный контроллер домена за VPN?

Я рассматриваю возможность установки контроллера домена Windows в MS Azure в виртуальной сети Azure. Цель - иметь возможность централизованно управлять терапевтами и пользователями.

Возможно ли это вообще, поскольку для аутентификации клиентские компьютеры должны быть подключены к VPN?

Думаю, я мог бы настроить VPN-соединение между сайтами в нашем офисе, но у нас есть несколько кочевых пользователей, которые почти всегда мобильны.

Определенно возможно и поддерживается запуск контроллера домена в Azure. Это зависит от того, чего вы хотите достичь, и будет ли это лучшим вариантом. Если вы в первую очередь хотите управлять политикой клиентского ПК и обеспечивать аутентификацию, вам обычно нужен DC рядом с машинами, которые он обслуживает. Если большинство пользователей находится в офисе, и у вас там есть инфраструктура, все же рекомендуется держать ваш DC в офисе рядом с ними. Основная причина размещения еще одного контроллера домена в Azure - это обслуживание приложений, которые вы также размещаете на виртуальных машинах Azure, для которых требуется проверка подлинности AD или доступ к каталогу.

Если вы хотите уйти от локальной инфраструктуры и по-прежнему нуждаетесь в традиционной групповой политике и управлении идентификацией, вы можете использовать контроллеры домена в Azure и предоставить доступ через VPN, как вы сказали. Существует возможность расширения вашей сети до Azure, либо вы можете взглянуть на новую точка-сеть VPN возможность, которая обеспечивает прямой доступ через VPN к Azure с помощью агента, установленного на каждом клиенте. Это может хорошо работать для небольшой пользовательской базы.

https://azure.microsoft.com/documentation/articles/vpn-gateway-point-to-site-create/

Помните также, что Windows кэширует учетные данные, поэтому, если вы авторизуете пользователя один раз через VPN, им не нужно будет запускать его для последующего входа в систему. Конечно, им нужно будет периодически входить в систему, чтобы применять последнюю политику, которая может быть реализована или поддержана с помощью сценария входа в систему и т. Д.

Надеюсь, это поможет.

Классическим решением этой проблемы является настройка VPN, которую компьютер может использовать без входа пользователя; Используемый механизм аналогичен тому, который использовался в древние времена, когда кто-то мог набрать Интернет-соединение для подключения к своему домену. Настройка может быть довольно сложной задачей, потому что вам нужно определить VPN-соединение таким образом, чтобы его можно было фактически инициировать через API сетевых подключений без необходимости загружать клиентскую программу (в основном, вам нужно развернуть PPP).

Более новый и, вероятно, более простой способ сделать это - использовать DirectAccess, который Microsoft выпустила именно для этого случая использования; подробное руководство доступно здесь. По сути, это решение VPN.

Посмотрите на DirectAccess, который работает как клиент SSL-VPN на уровне компьютера. Я не думаю, что вы можете запустить свой сервер прямого доступа в Azure, поскольку в Azure используется только TCP.

Но суть в следующем: если вам нужно иметь возможность управлять компьютерами за пределами вашего центра обработки данных, я бы сказал, что размещение DC в Azure - плохая сделка. Становится популярным развертывание реплик контроллера домена в Azure, но они развертываются для обеспечения отказоустойчивости вторичного сайта и возможности облачных рабочих нагрузок для проверки подлинности AD.

Конечно, вы можете подключить своих пользователей к облачному DC. Но зачем им это? Ни один из известных мне пользователей не особенно заинтересован в том, чтобы их компьютеры находились под управлением.

Так. Решение Microsoft для всего этого - DirectAccess. Возможно, он вам не подходит, но о нем стоит прочитать.