我对在设计 Active Directory 的远程身份验证时似乎提倡的增加的拓扑复杂性感到有点困惑。
我希望所有计算机的所有应用程序都能够为内部和外部用户提供单点登录。乍一看,我认为将适当的端口转发到本地活动目录服务器是合理的。
然后我可以执行以下操作:
- 当我的网站想要验证用户身份时,网站只需在正确的端口上 ping 我的外部 IP 即可。
- 当有人想要远程将服务器或工作站连接到网络时,他们只需创建 VPN 连接。
这看起来很简单。但是,其他人似乎主张创建一个本地活动目录服务器,该服务器复制初始目录。这样做的原因是什么?
此外,通过 Azure Directory,它想要与我的本地活动目录服务器建立联合服务连接 - 理论上,我是否只能使用 Azure 作为我的主目录并让我的所有工作站、服务器等使用它进行身份验证?