我们正在为我们的 2 个小型办公室实施新的 Windows Server 2012 R2 域控制器,并且我们想在 Amazon EC2 上进行设置。我读到过,对于这种类型的设置,您通常会使用 VPN。如何在不强制所有流量通过域控制器的情况下设置连接?我们不希望所有流量都必须先通过域控制器,我们只想连接到控制器进行身份验证。我们正在使用 pfSense 企业路由器。
答案1
如何在不强制所有流量通过域控制器的情况下设置连接?
使用站点到站点 VPN。您可以将云资产设置为站点,然后在云站点和每个物理站点之间建立站点到站点 VPN。
微软使用的另一种选择,但通常是不明智的(除非你真的,真的知道你在做什么)就是将域控制器暴露给互联网,并使用 IPSec 保护访问。(不要这样做:站点到站点 VPN 更安全。)
答案2
我们有很多创建或扩展 DC 到云的可能性。首先,我们有 EC2 服务来托管新的 AD 或将您的 AD 扩展到云。请参阅 AWS 目录服务。
现在,您还可以通过 VPN 连接(您可以使用直接连接或 Linux 服务器 VPN)启动配置了 AD 服务的 Windows 服务器,该服务器连接到您的 DC 所在的数据中心和您的 AWS VPC。设置指向您希望登录进行身份验证的 DC 的 DHCP 选项。