Из-за определенных ограничений конкретный сайт AD не может иметь локальные контроллеры домена, а также нельзя установить туннели VPN типа "сеть-сеть" для других сайтов. Вместо этого члены домена здесь используют VPN типа «точка-сеть» / «телефонный» для подключения к удаленным контроллерам домена.
Члены домена могут подключаться к контроллерам домена и получать к ним доступ через VPN, однако из-за брандмауэра и характера VPN типа «точка-сеть» контроллеры домена не смогут когда-либо устанавливать соединения с этими изолированными членами домена.
Подходит ли этот постоянный односторонний дизайн для этих членов домена? Или возникнут сложности, когда дело доходит до определенных функций / сценариев?
У меня никогда не было необходимости в контроллерах домена для установления контакта с членами домена. Этот дизайн, по сути, такой же, как работа из домашнего сообщества, которая использует исключительно точку-сеть VPN. Если бы использовался DirectAccess, не было бы никакой разницы, но DirectAccess - это тупиковый продукт.
Типичная проблема в этом сценарии заключается в том, что если кто-то не может войти в систему с кэшированными учетными данными, он может быть недоступен, пока не заберет / не отправит свой компьютер в место, где есть связь с контроллером домена.
Применение некоторых групповых политик требует подключения к контроллеру домена во время запуска: задачи, выполняемые как сценарии запуска, или развертывание программного обеспечения могут получать доступ к файлам на SYSVOL только во время запуска системы.
Если после этого будет установлено соединение VPN, эти клиенты могут никогда не запускать эти задачи или обновлять это программное обеспечение, и вам придется соответствующим образом изменить процедуры развертывания.
Некоторые клиенты VPN (Cisco сделала это несколько лет назад) можно настроить так, чтобы разрешить запуск сеанса до входа в Windows.
Мой ноутбук подключается к сети компании всего несколько раз в год через VPN, а на месте, может быть, ежегодно. И до недавнего времени работало отлично - даже обычная смена пароля как-то работала без активного VPN. Так что это можно сделать, но я не могу точно сказать, как, хотя я не блокирую никакие исходящие порты, и мой маршрутизатор показывает, что время от времени поддерживает огромное количество сеансов NAT, поэтому происходит что-то интересное.
Я освободил его от корпоративного контроля обновлений Windows, который вполне может помочь (может быть, они тоже его ослабили?), Поскольку я в целом самоуправляюсь, хотя я все еще получаю другие обязательные обновления от ИТ-команды.