我们有一个域控制器(Windows Server 2008),其中包含我们所有员工的用户帐户及其漫游配置文件。
我正在研究远程工作者使用笔记本电脑的选项。用户会共享几台笔记本电脑,每次都带不同的笔记本电脑。
让笔记本电脑通过 3G 和 VPN 连接回办公室服务器是否合理?这样用户就可以在笔记本电脑上获取所有文件等,就像坐在办公桌前一样。但是,连接速度可能会造成问题。
是否可以通过 VPN 将笔记本电脑链接到域,而无需添加任何额外的服务器或服务器软件?
答案1
虽然您当然可以将域控制器用于 VPN,但如果有其他选择,通常不建议这样做。在 DC 上配置 VPN 与在任何其他 Windows 服务器上配置 VPN 没有什么不同。
根据您的要求,您面临的问题是,没有什么可以阻止用户在连接到 VPN 之前登录笔记本电脑。虽然可以防止这种情况发生,但这往往会使笔记本电脑的可用性大大降低。
无论 VPN 是在路由器上还是服务器上,这个问题都是一样的。如果您希望强制执行一项策略,强制笔记本电脑在使用登录之前连接到 VPN(从未这样做过,不要问我怎么做),VPN 仍然可以保留在路由器上。重要的是身份验证服务器,而不是托管 VPN 的服务器,只要客户端计算机在连接时可以与 DC 通信即可。
答案2
虽然您可以将此服务器用作 VPN 集中器,但我建议您考虑使用支持客户端 VPN 的防火墙(如 Sonicwall、Cisco ASA、Checkpoint 等)在边缘执行此操作。让它们连接到设备,通过 LDAP 或 Radius 根据您的 Active Directory 用户名和密码进行授权。然后,它们可以使用此隧道访问内部资源。
由于安全问题太严重,我不会使用域控制器作为 VPN 端点。