我们刚刚将公司内部网从基于 IIS、ASP(编写不佳)服务器/代码库升级到 Windows Server 2008 r2(Apache/MySQL/PHP)服务器。
旧服务器允许用户使用 AD 用户/密码登录 intranet.xxx.org,然后从基本上任何可以访问 Internet 的地方将他们引导到公司内部网。
我们希望通过新的设置来模仿该功能(或将其更改为更安全的功能)。
这似乎是为在州立网络上运行的异地员工设置的。州立网络不允许 VPN,因此,我们需要一种方法来允许这些员工访问内联网。
那么,我们如何让外部世界的用户登录并访问我们的内部网络呢?
答案1
除非新的“外联网”(更好地描述您的站点)可以从公共路由 IP 访问,否则您必须提供某种远程访问或隧道方法才能“进入”网络,然后将站点拉上来。
话虽如此,您可以选择以下其中一条路线……
- 与国家网络人员合作,获得 VPN 访问权限,似乎这不会发生,但你永远不知道。
- 利用某种可以位于公共互联网上并将请求转发到内部服务器的边缘/代理服务器。这为您提供了一个真正的内部网站点,并提供了进入内部网站的外部网络机制。
- 像以前一样将您的内部网站点重新路由到公共网络......肯定能解决问题!
- 另外,您可能还想研究将 ADFS(Active Directory 联合身份验证服务)添加到组合中,从长远来看,这可以帮助您获得安全令牌。再次与选项 2 结合使用时,用户将获得一个简单的基于表单的登录页面,如果成功,他们将被重定向到您的内部网站以及安全令牌,因此登录不必发生两次。无论哪种方式,都值得研究。
答案2
据我所知,您的内联网实际上并不是内联网。它看起来就像任何其他网站一样,只是通过 AD 身份验证进行保护。内联网实际上应该是内部的,而不是像您现在拥有的那样面向互联网。访问它的安全方式应该是使用 VPN 隧道连接到您的公司网络,然后浏览到内部服务器的 IIS Web 地址。如果我错了,请纠正我...