我有一个非常小但分布式的网络。在中央办公室,有一台 Windows Server 2008 R2 VM,其中有几台 Linux VM 在同一台机器上运行。有两台运行 Windows7 的客户端 PC。在远程位置,有一台客户端 PC,当前通过其中一台 Linux 服务器使用 OpenVPN 连接到中央办公室。
我想从工作组移至管理域,以便更好地控制组策略。我无法证明额外的服务器硬件或 Microsoft 许可证是合理的(这些东西太荒谬了),但可以轻松地向现有服务器添加更多虚拟机。
在我看来,我需要做出一些决定,每个决定都有几个选择。
哪个服务器运行域
- Windows 服务器 2008
- 传统AD解决方案
- 如果没有其他许可证,则无法添加备份控制器
- Windows 服务器也运行 FTP 和 AS 功能;AD 服务器通常只托管 AD。
- 其中一个装有 Samba 的 Linux 机器
- 不是传统的 AD 解决方案(我是否放弃了任何功能?)
- 可以轻松(即廉价)添加备用控制器
- 如果有必要(不太理想),可以在远程位置添加 DC
如何验证/授权远程位置
- 在远程位置添加远程 Linux DC(对于一个远程客户端来说似乎有点过度)
- 在登录 Windows 之前以某种方式连接到 VPN(这可能吗?)
- 无需 VPN 即可将我的 AD 暴露到互联网上。(这似乎是个糟糕的主意)
我遗漏了哪些选项?这对于小型企业来说肯定是一种相当常见的情况,我无法想象这些缺乏 IT 的公司会购买多个 WinServer 机箱来设置传统解决方案,即独立 AD、独立备份 AD,然后再使用另一个机箱来托管其他所有内容……
我是一名 Linux 用户,不介意亲自动手,但没有丰富的 IT 经验。
答案1
理想的解决方案是设置站点到站点的 VPN 隧道并处理主站点上针对 DC 的所有身份验证。(这当然取决于您的网络设备或您可以在每个站点设置的任何网关服务器。)
如果您在远程站点放置第二个 DC,您将遇到同样的问题,即连接两个站点以便 DC 可以相互通信。而且,是的,将 AD 暴露给公共网络是最糟糕的想法。而且,让我补充一点,使用 Linux 作为您的辅助 DC 在我看来也是一个非常不好的主意。我敢打赌这是可以做到的,但当 Windows DC 发生故障并且您必须尝试恢复唯一的 Windows DC 时,我不想在场。可能“足够好”,但是,就像我说的,我不会信任它,如果我不能信任它,为什么一开始就要让它在场呢?
如果您无法进行站点到站点 VPN,则根据您使用的 VPN 软件,实际上可以在没有用户上下文的情况下(在登录 Windows 之前)连接远程客户端 VPN,是的,但我建议更简单的想法是允许缓存域凭据和/或非域受限用户帐户。但是,当需要更改密码时,缓存仅具有 VPN 访问权限的客户端的域凭据可能会有点麻烦,因此请注意这一点。
不管怎样,这个问题的“常见”解决方案似乎是继续使用工作组,和/或节省他们雇用的 IT 管理员的费用,以确保他们最终得到的域名以我无法计数的方式被搞砸。所以,至少要主动尝试做正确的事情,这是值得称赞的。