我们可以从本地计算机向远程托管 DC 进行身份验证,而无需通过 VPN 连接到服务器。服务器有公共 IP,本地计算机正在使用 NAT。目前,除了 Internet 之外,没有任何其他连接可以访问服务器,例如 VPN。所以请为我提供关于这种情况的建议,以及如何在没有 VPN 的情况下向远程 DC 进行身份验证?或者哪种方式是对远程 DC 进行身份验证的正确方法以及如何进行身份验证?提前致谢
答案1
使用 VPN 访问远程域控制器 (DC) 计算机可以说是访问它的正确方法。据推测 VPN 终止于某种类型的防火墙后面,从而阻止通过 Internet 直接访问 DC。到目前为止,不建议在面向 Internet 的配置中将 Active Directory (AD) 的所有版本与 DC 一起部署。AD 的设计并未考虑 Internet 威胁模型。
从您的问题中无法确定您是在每台客户端计算机上使用软件 VPN 客户端,还是在连接到网络的硬件 VPN 客户端。在我看来,使用硬件 VPN 客户端会获得更好的体验,这样本地计算机就可以在启动任何 VPN 客户端软件之前在启动期间访问 DC。我发现使用软件 VPN 客户端更麻烦,并且会产生额外的故障模式。
您也可以考虑使用 Microsoft 的 DirectAccess VPN 来开发此应用程序。它会使 DC 的托管网络稍微复杂一些,但可能会为您提供更“透明”的 VPN 体验。(您还需要“企业”版的客户端操作系统)。