这不是我的生计,所以我希望我说得足够清楚。我有许多 Windows 7 工作站在野外的防火墙后面运行。我的公司组织内部有一个 Active Directory,位于防火墙后面。我在防火墙上能做的事情非常有限……打开一两个端口可能没问题,但仅此而已。
最重要的是,我需要通过 Active Directory 集中管理我的用户和策略。我可以通过 VPN 做到这一点吗?第一次身份验证将如何进行?
我可以通过 SSH 隧道来做到这一点吗(假设我已经拥有适当的基础设施,显然只有在登录后才能运行)?
谢谢
答案1
您需要做的第一件事是将每个工作站加入域。为此,每个工作站都需要能够与 Active Directory 集成 DNS 服务器(即域控制器)通信。您需要做的是绝对不应该做是开放端口,用于从远程工作站到域控制器的未加密 AD 通信。这是一个非常糟糕的想法,我甚至不想讨论它。
我可以通过 VPN 做到这一点吗?第一次身份验证将如何进行?
是的,您可以使用 VPN。如果这样做,每个工作站都需要先连接到 Internet,然后使用缓存的凭据通过本地帐户或 AD 帐户进行身份验证,然后通过 VPN 进行身份验证。这是错误的做法。我见过很多人尝试这样做,为了所有 IT 管理员的利益,请不要这样做。您只会制造更多需要稍后修复的问题。更重要的是,这样做效果会很糟糕。:)
更好的选择是在每个办公室使用站点到站点的 VPN,其中有加入域的工作站,或者向 ISP 付费以在每个办公室和域控制器所在的主办公室之间建立第 2 层电路。
最佳解决方案是在每个办公室都设立一个 DC,然后使用第 2 层电路将每个办公室连接到总部。AD 身份验证和更新在每个本地 DC 上进行,本地 DC 通过第 2 层电路将更改与总部的 DC 同步。
提出产品建议与服务器故障无关,但最重要的是您需要在每个工作站和域控制器之间建立连接。另一种方法是将每个工作站带到域控制器所在的网络,并将工作站加入域,但这实际上不是处理此问题的正确方法。如果您要将这些工作站放在远程位置,并且需要将它们加入域,那么您可能需要研究可以从当前 ISP 购买的站点到站点 VPN 和第 2 层电路。