我正在考虑在 Azure 虚拟网络内的 MS Azure 中设置 Windows 域控制器。目标是能够集中管理 GP 和用户。
这是否可行,因为客户端计算机必须先连接到 VPN 才能够进行身份验证?
我想我可以建立一个到我们办公室的站点到站点的 VPN 连接,但是我们有一些几乎总是移动的流动用户。
答案1
在 Azure 中运行域控制器绝对是可行的,而且受到支持。这取决于您想要实现什么,以及这是否是最佳选择。如果您主要想要管理客户端 PC 策略并提供身份验证,那么您通常希望 DC 靠近它所服务的机器。如果大多数用户都在办公室,并且您在那里有基础设施,那么将您的 DC 放在他们附近的办公室仍然是一个好主意。将另一个 DC 放在 Azure 中的主要原因是为您也放在需要 AD 身份验证或目录访问的 Azure VM 中的应用程序提供服务。
如果您希望摆脱本地基础设施,但仍需要传统的组策略和身份管理,那么您可以使用 Azure 中的 DC,并通过 VPN 提供访问权限,正如您所说。有一个站点到站点选项可以将网络扩展到 Azure,或者您可以查看新的点对点 VPN允许使用安装在每个客户端上的代理直接通过 VPN 访问 Azure 的功能。这对于小型用户群来说可能效果很好。
https://azure.microsoft.com/documentation/articles/vpn-gateway-point-to-site-create/
还要记住,Windows 会缓存凭据,因此只要您通过 VPN 让用户进行一次身份验证,他们就无需运行 VPN 即可随后登录。当然,他们需要定期登录以应用最新策略,这可能会通过登录脚本等强制执行或鼓励。
希望有所帮助。
答案2
对此的传统解决方案是设置一个无需用户登录即可让计算机使用的 VPN;所使用的机制类似于古代人们拨打互联网连接以连接到其域的机制。设置它可能有点麻烦,因为您必须以某种方式定义 VPN 连接,以便它实际上可以通过网络连接 API 启动,而无需加载客户端程序(基本上,您必须部署 PPP)。
一种较新且可能更简单的方法是使用 DirectAccess,Microsoft 已为此确切用例发布了此功能;详细指南请点击此处. 它基本上是一个 VPN 解决方案。
答案3
研究 DirectAccess,它在计算机层上充当 SSL-VPN 客户端。不过我认为您不能在 Azure 上运行 directaccess 服务器,因为 Azure 仅支持 TCP。
但问题是:如果您需要能够管理数据中心外的计算机,我认为将 DC 放在 Azure 中是件坏事。在 Azure 中部署 DC 副本正变得越来越流行,但部署这些副本是为了提高辅助站点的弹性,以及使基于云的工作负载能够针对它进行 AD 身份验证。
当然,您可以让用户通过 VPN 接入基于云的 DC。但他们为什么要这么做呢?据我所知,没有哪个用户特别关心他们的计算机是否得到管理。
所以。微软针对这一切的解决方案是 DirectAccess。它可能不适合您,但值得一读。