我将解释正在发生的一切。我在一家非政府组织工作,我们的办公室在巴西的一所大学里。直到几周前,我们的互联网基础设施的运作方式是这样的:
- 该大学获得互联网连接
- 他们的服务器与我们的 Windows 服务器通信,后者控制 AD、DHCP 和用户身份验证
- 答案回到他们的基础设施,并对连接到我们办公室内的计算机(连接到他们的电缆/无线网络)进行验证
上周我们的服务器瘫痪了,为我们提供支持的公司反应非常慢。所以我尝试寻找不同的解决方案,以便更容易维护,并且比我们现有的支持更便宜。我的想法是使用 Amazon EC2 Windows Server 代替我们的旧服务器,这样大学就可以与 EC2 通信,然后对连接的计算机进行身份验证。
根据我们在此处进行的研究,只要大学与 EC2 的连接是通过 VPN 建立的,这应该是可能的。我的问题是:
- 这真的可能吗?
- EC2 AD、DHCP 和用户身份验证配置与我们拥有的本地服务器相同吗?
- 大学里的人问我们,他们的情况会有什么变化。现在他们是否应该使用 VPN 连接到外部服务器,而不是网络内的本地服务器?或者这意味着其他变化?
提前感谢大家的帮助:) 附言:如果有什么不清楚的,请告诉我!
答案1
理论上你可以这样做。正如之前在 ServerFault 上讨论的那样,这并不意味着你应该这样做。
您肯定会遇到的第一个问题就是延迟。上次我检查时发现巴西附近没有亚马逊数据中心,因此您只能祈祷 VPN 隧道保持畅通,然后再处理整体延迟连接,因此登录请求和响应会延迟。通常,任何类型的远程 AD 设置都会导致长时间的登录延迟和用户整体不满,因为从按下 Enter 键到桌面弹出需要一段时间。
如果问题出在提供服务器的支持公司,那么要么寻找新的供应商,要么自己运行服务器。作为一个完整的解决方案,您可以出于弹性原因使用 Amazon 启动主 AD 盒,然后让大学在其网络上运行只读 DC 来针对其发出所有请求。这可以保护服务器上的数据,并在一定程度上消除返回 Amazon 的 VPN 负载。
总的来说,我建议尽可能在本地运行 DC 盒以获得最佳性能。用户会感谢你的。
答案2
这可行吗?当然可行。
但我认为你只是用一组问题换取另一组问题。如果你没有资源自己管理本地服务器,你真的有资源管理 Amazon EC2 实例吗?