У компании нет офисов. Все пользователи удалены.
Однако им нужна Active Directory, к которой можно присоединять рабочие станции и централизованно управлять пользователями.
Одно из предложений - приобрести сервер в облаке (AWS, Azure, Rackspace и т. Д.) И развернуть на нем Active Directory, а затем присоединить рабочие станции к этой Active Directory.
При такой настройке каковы последствия неиспользования VPN от рабочей станции конечного пользователя до экземпляра сервера в облаке? Кто-нибудь делал это без VPN?
Не делайте этого с традиционными AD DS. Если вам нужно перейти только в облако, вы должны использовать решение Azure Active Directory SaaS с Intune для управления и Windows 10 на рабочем столе. Вы теряете такие вещи, как Kerberos, GPO и т. Д., Но получаете большую гибкость и не имеете инфраструктуры для управления.
Как я уже сказал, это не сравнение 1: 1 функций между AAD и AD DS, поэтому проведите небольшое исследование и убедитесь, что оно подходит, но это единственное правдоподобное решение вашего вопроса, если вы полностью не игнорируете безопасность. практики и разместить DC в общедоступном Интернете.
На ваш конкретный вопрос - каковы последствия? Контроллеры домена в конфигурации по умолчанию не защищены для общедоступной сети, например, они разрешают привязки LDAP с открытым текстом по умолчанию, что может привести к перехвату ваших паролей. В этой статье описывается процесс отключения простых привязок LDAP. https://support.microsoft.com/en-us/kb/935834
В зависимости от того, чего вы надеетесь достичь с точки зрения управления машиной / пользователями, вам следует изучить следующие технологии.
Microsoft Intune может обеспечить управление машинами, не присоединенными к домену, включая Mac / Linux, с помощью Configuration Manager.
Windows Azure Active Directory позволяет централизованно создавать учетные записи пользователей и управлять ими, а также предоставлять интерфейс проверки подлинности ADFS для различных приложений, включая Office 365.
DirectAccess обеспечивает возможность присоединения к домену при прямом подключении к Интернету путем создания VPN-туннеля к вашей облачной сети перед аутентификацией.
Присоединение к рабочему месту - это возможность ADFS, которая позволит вам «присоединить» устройство к вашему домену через службу ADFS.
Windows Azure может предоставлять общие ресурсы SMB через Интернет. Но общие файловые ресурсы - это устаревшая технология - по возможности используйте Sharepoint Online / OneDrive.
Политики могут (как бы) выполняться с помощью Windows Intune - вы не получите традиционной конфигурации групповой политики, но обычно вам это не нужно, если вы не хотите заблокировать свою среду.
Интернет-печать может быть настроена в Windows 2012 https://technet.microsoft.com/en-us/library/jj134159.aspx - но для этого вам понадобится сервер. Облачный сервис, несомненно, существует.
Удачи
Шейн
Вы хотели бы защитить свои серверы AD DC из Интернета. Их прямое раскрытие - не лучшая практика. VPN помогает предотвратить это. Вы можете использовать встроенные в Windows VPN-сервисы, которые хоть и не так хороши, но, по крайней мере, дадут вам нечто лучшее, чем ничего. Вот ссылка на руководство MS по передовым методам работы с Active Directory. Лучшие практики для защиты Active Directory Возможно, вы захотите просмотреть его, прежде чем продолжить. На странице 78 содержится несколько обзоров о простом использовании Internet Explorer на контроллере домена как о неэффективной практике. Уже одно это должно указывать на то, что размещение служб Active Directory в Интернете - плохая идея.