Мы (небольшая организация) развертываем виртуальную машину Azure в качестве контроллера домена Active Directory. Теперь мы хотим добавить клиентов в этот активный каталог и посмотреть решения для сети / подключения.
Попросите пользователей работать со многих сайтов, а также вне помещений. Уже посмотрели на прямой доступ, но для этого нужны корпоративные лицензии Windows на клиентах. Уже просматривали лазурные VPN-сервисы между сайтами, но для этого пользователям необходимо находиться локально, что в большинстве случаев бывает не так. Мы уже посмотрели на Azure Point to Site VPN для пользователей, но он подключается только после входа пользователей в систему (даже с помощью планировщика задач. Я уже разбил клиент Azure vpn, но он не подключается до входа в Windows, потому что он использует сертификат и окна не позволяют получить к нему доступ до входа в систему).
Есть ли решение, которое аутентифицирует пользователей в активном каталоге через Интернет, например, при прямом доступе?
НЕТ. В вашем случае для подключения виртуальных машин Azure к локальной корпоративной сети требуется виртуальная сеть Azure, которая включает виртуальная частная сеть типа "сеть-сеть" или "точка-точка" (VPN) компонент, способный беспрепятственно подключать виртуальные машины Azure и локальные машины.
Поскольку он обеспечивает уровень-3 соединение, компонент VPN, который обеспечивает соединение между виртуальной сетью Azure и локальной сетью, также может позволить рядовым серверам, которые работают локально, использовать контроллеры домена, которые работают как виртуальные машины Azure в виртуальной сети Azure. Но если VPN недоступен, связь между локальными компьютерами и контроллерами домена на базе Azure не будет работать, что приводит к аутентификации и различным другим ошибкам.
Подробнее о различиях между развертыванием контроллеров домена Windows Server Active Directory на виртуальных машинах Azure и локальным развертыванием см. этот документ.