我是一家快速发展、员工人数即将达到 100 人的公司的“IT 人员”。虽然我的主要工作是网站和服务的后端开发;但我还负责为用户设置和维护 PC。
目前我只是在机器上创建本地帐户,输入他们的 Outlook 设置,并为用户预安装一些应用程序,但管理这些已经失控了。我几乎跟不上扩张的步伐,更不用说招聘和解雇的后台“流失”了。
对此的“简单”解决方案是设置 Windows Server 并开始使用 Active Directory 来管理帐户,问题是我们的员工分散在 12 个地点。现在,我正在使用 logmein 来远程管理机器。
我想转向某种基于域的登录,类似于传统的活动目录设置,我在中心位置创建和配置 Windows 用户帐户,然后最终用户只需使用域/用户名登录到任何机器。
我一直在使用 Windows InTune,它非常适合管理机器和部署策略,但这并不是我真正需要的。
我一直在研究 Azure Identity,但这意味着我仍然需要为每个位置配备一个本地 AD 控制器。理想情况下,我希望这些服务存在于“云中”。我不知道是否愿意在每个位置都配备一台服务器,因为这些位置都是农村地区,而且我想避免将昂贵的专业设备送到当地承包商那里安装。
将“类似活动目录/sso”的服务托管在云中似乎是一件轻而易举的事,在阅读了有关 InTune、Azure Identity 和 Office365 等产品的信息后,似乎可以做到这一点...有没有人成功部署过这样的系统,或者知道有人这样做过的案例研究/事后分析?
答案1
如果这是我的环境我会考虑执行以下操作:
购买一些可以在远程办公室执行 VPN 终止的廉价设备 - Ubiquiti EdgeRouter Lite 盒,或者一些可以运行 OpenWRT Linux 的小盒子。
终止我中心位置的所有远程站点的 VPN。
安装两个 Windows Server 实例,最好在不同的物理硬件上运行,并且最好位于不同的物理位置,以实现冗余。如果可以,请将一个实例放在中心位置,将另一个实例放在人员最密集的远程位置,并上锁保管。
如果您将域控制器放置在辅助“集线器”位置,请配置所有 VPN 终止设备以将第二个 VPN 隧道直接终止到第二个位置(这样从远程站点到辅助“集线器”的流量不需要通过主集线器站点)。
在其中一个 Windows Server 实例上创建 Active Directory 林和域,并同时安装 DNS。
将另一个 Windows Server 实例提升为新创建域中的域控制器 (DC),在提升期间使用第一个 DC 作为其 DNS 服务器。在第二个 DC 上安装 DNS 角色,并将两个 DC 配置为使用它们自己作为主 DNS 服务器,将另一个 DC 作为其辅助 DNS 服务器。
将第二个 DC 配置为全局编录服务器。
配置远程办公室中的 PC 以使用两个 DC 作为其 DNS 服务器。
如果您担心 VPN 发生故障时会丢失 DNS,请将每个办公室中的 VPN 终端设备配置为 DNS 服务器。配置该 DNS 服务器以有条件地将对 Active Directory 域的请求转发到 DC 托管的 DNS 服务器,同时将所有其他 DNS 请求直接发送到 Internet。配置远程办公室中的所有客户端以使用 VPN 终端设备作为其 DNS 服务器。如果 VPN 发生故障,远程的客户端计算机仍将拥有 DNS。(在这种配置中,您可能会遇到来自客户端的动态 DNS 更新问题。
假设远程办公室的 Internet 连接状况不是太糟糕,那么当您开始将远程办公室的 PC 加入域时,您应该会看到合理的登录时间。不要对组策略过分痴迷,否则您会开始减慢速度。在这种配置中,漫游用户配置文件和文件夹重定向等好东西可能都无法实现。您可能必须修改组策略慢速链接检测阈值,才能使组策略正确应用(取决于远程站点 Internet 连接有多糟糕)。
你会得到一个很多此解决方案可提高可管理性,同时不会将您的 DC 直接暴露在互联网上(AD不是设计用于)。