我们(一家小型组织)正在部署 Azure VM 作为 Active Directory 域控制器。现在我们想将客户端添加到此活动目录并查看网络/连接解决方案。
让用户在许多站点和外部场所工作。已经查看了 directaccess,但它需要客户端上的 Windows 企业许可证。已经查看了 Azure 站点到站点 VPN,但为此用户需要在场所内,而大多数情况下并非如此。已经查看了用户的 Azure 点到站点 VPN,但它仅在用户登录后连接(即使使用任务计划程序。我已经拆分了 Azure VPN 客户端,但它在登录 Windows 之前无法连接,因为它使用证书,而 Windows 不允许在登录之前访问它)。
是否有一种解决方案可以像 directaccess 一样通过互联网对活动目录的用户进行身份验证?
答案1
不。就你的情况而言,将 Azure 虚拟机重新连接到本地企业网络必须需要 Azure 虚拟网络,其中包括站点到站点或站点到点虚拟专用网络 (VPN)能够无缝连接 Azure 虚拟机和本地计算机的组件。
由于它提供了一个第 3 层连接,提供 Azure 虚拟网络和本地网络之间连接的 VPN 组件还可以使在本地运行的成员服务器利用在 Azure 虚拟网络上作为 Azure 虚拟机运行的 DC。但是如果 VPN 不可用,本地计算机与基于 Azure 的域控制器之间的通信将无法进行,导致身份验证和其他各种错误。
有关在 Azure 虚拟机上部署 Windows Server Active Directory 域控制器与在本地部署 Windows Server Active Directory 域控制器之间的对比,请参阅这个文件。