Мы внедряем новый контроллер домена Windows Server 2012 R2 для двух наших небольших офисов и хотим установить его на Amazon EC2. Я читал, что при таком типе настройки вы обычно используете VPN. Как можно было бы установить соединение без принудительной передачи всего трафика через контроллер домена? Мы не хотим, чтобы весь трафик сначала проходил через контроллер домена, мы хотим подключиться к контроллеру только для аутентификации. Мы используем корпоративные маршрутизаторы pfsense.
Как можно было бы установить соединение без принудительной передачи всего трафика через контроллер домена?
С межсайтовыми VPN. Вы должны настроить свои облачные ресурсы как сайт, а затем установить VPN-соединение типа «сеть-сеть» между вашим облачным сайтом и каждым из ваших физических сайтов.
Альтернативный вариант, который использует Microsoft, но, как правило, не рекомендуется (если вы действительно действительно знать, что вы делаете) открывает доступ к контроллеру домена в Интернет и защищает доступ с помощью IPSec. (Не делайте этого: VPN типа "сеть-сеть" намного безопаснее.)
У нас есть много возможностей для создания или расширения ЦОД в облако. Во-первых, у нас есть сервисы EC2 для размещения нового AD или расширения вашего AD в облако. Обратитесь к службам каталогов AWS.
Теперь вы также можете запустить сервер Windows со службой AD, настроенной через VPN-соединение (вы можете использовать прямое подключение или VPN-сервер Linux) к центру обработки данных, где находится ваш DC, и к вашему AWS VPC. Настройте параметры DHCP, указывающие на DC, на котором вы хотите аутентифицировать логины.