我们有一个 Windows 2008 Active Directory 设置,以便我们在多台机器等上使用相同的密码。
现在我们有一台位于异地的服务器(Win 2008 R2),因此也在我们的防火墙之外,我们希望将该机器附加到域。
我认为某种 VPN 连接可以允许我们将外部服务器加入到我们的域。
为此目的,您会推荐哪种类型的 VPN(PPTP、IPSec、..)(单一服务器)?
或者是否存在另一种更合理的可能性?
答案1
如果您无法在 LAN 和远程站点之间建立直接链接,则 VPN 是您的最佳选择。您可以基本上通过两种方式进行设置:
- 让服务器建立它。
- 使用站点到站点的 VPN。
在第一种情况下,您的服务器将使用其 RRAS 服务建立 VPN;它将是唯一能够与您的网络通信的计算机。您应该使用 RRAS 而不是标准的用户空间 VPN 连接,因为否则需要用户登录并激活连接才能使其工作;RRAS 将自动处理该问题。
在第二种情况下,您将在远程站点使用路由器/防火墙建立到您网络的 VPN 连接;这将允许多台计算机同时与其通信,并且通常是首选方法,因为它比单个系统执行此操作更可靠、更易于管理和更安全。
在这两种情况下,您都需要在主网络中配备 VPN 服务器;这可以是路由器、防火墙、运行 RRAS 或 ISA/TMG 的 Windows 服务器……几乎任何您想要的东西;如果它支持 VPN 连接,它也可以是您当前的防火墙。
L2TP/IPSec VPN 通常比 PPTP VPN 更安全、更可靠。
答案2
另一个 VPN 连接选项是 OpenVPN。可以将其配置为使用证书(包括自签名证书,因此您无需支付任何费用),并且可以自动化(即不需要特定的用户登录)。OpenVPN 可以使用各种不同的协议(非常灵活),并且可以容纳永久连接以及用户连接。