我需要将远程计算机(物理上在域之外)连接到由 Active Directory 控制的数据中心的基础设施。我可以通过 VPN 顺利连接到数据中心,但我想了解如何设置这台计算机以自动通过 VPN 连接到数据中心,然后通过 Active Directory 连接到数据中心,以便对计算机进行身份验证,并且 AD 可以处理登录信息。Windows 可以自动处理这个问题吗?还是我需要购买某种路由器来建立 VPN 连接并将其提供给计算机?
仅供参考 - 原因是我正在为数据中心的网络设置一个远程辅助备份机器,而 Microsoft DPM 要求该机器位于 AD 网络上。
我在远程计算机上运行 Windows Server 2008 R2 SP1,在域控制器上运行 VPN 服务器和非 R2 服务器。
答案1
我可能更倾向于建立站点到站点的 VPN,并使用路由器终止外部站点的 VPN 连接。
基本上,这样你就可以获得更稳定(理论上)的 VPN 连接,并且不依赖 AD 进行身份验证。这没有理由比 AD 身份验证的 VPN 连接更不安全,但它的设置会更容易,尤其是以自动方式设置
答案2
我同意 Tom 的观点 - 我尝试按照问题中描述的方式为只有一台 PC 的远程站点设置 PC - 我发现 VPN 经常断线。有选项可以自动重启 VPN,但我发现路由器更适合。
我还将它们设置为使用计划任务自动启动 VPN,但偶尔/随机地这实际上不起作用。
使用路由器的另一个好处是,如果由于某种原因 PC 关闭,您可以使用 WoL 远程唤醒它。
如果您想要一个便宜的路由器用于远程站点,我知道 Draytek Vigor 2820 有一个 PPTP 客户端,可与 Windows PPTP VPN 服务器配合使用,并且可以使用以太网或 ADSL 作为 WAN。我曾经为远程站点部署过这些,它们通常都很好,但偶尔它们可能需要重新启动。但是,如果您有大量 VPN 流量,您可能希望寻找更好的产品。
无论您使用什么路由器,请确保指定您的 AD DNS 服务器,或者最好有一个本地 DC。
答案3
如果您正在寻找其他解决方案,Sonicwall 为其一系列硬件提供了解决方案,可实现单点登录进行身份验证。安装路由器并进行配置。然后从 Sonics 网站下载并安装“目录连接器”。这样就可以使用 AD 中的用户和组填充路由器。可以通过用户或组界面授予或撤销 VPN 权限。