由于某些限制,特定 AD 站点无法拥有本地 DC,也无法建立到其他站点的站点到站点 VPN 隧道。相反,此处的域成员使用点到站点/拨入 VPN 连接到远程 DC。
域成员可以通过 VPN 顺利到达并访问 DC,但是由于防火墙和点对站点 VPN 的性质,域控制器无法与这些隔离的域成员建立连接。
对于这些域成员来说,这种永久的单向设计可以接受吗?或者在某些功能/场景中会出现任何复杂情况?
答案1
应用某些组策略需要在启动时连接到 DC:作为启动脚本运行的任务或软件部署可能会访问系统卷仅在系统启动期间。
如果在此之后建立 VPN 连接,这些客户端可能永远不会运行这些任务或更新这些软件,您必须相应地更改部署程序。
答案2
我从未需要域控制器发起与域成员的联系。这种设计本质上与专门指向站点 VPN 的在家办公社区相同。如果使用 DirectAccess,则没有任何区别,但 DirectAccess 是一种死胡同产品。
在这种情况下,一个典型的问题是,如果某人无法使用缓存的凭据登录,则他们的计算机可能会处于宕机状态,直到他们将计算机携带/运送到可以与 DC 连接的位置。
答案3
一些 VPN 客户端(思科至少几年前就这么做了)可以配置为允许在 Windows 登录之前启动会话。
我的笔记本电脑每年只通过 VPN 连接到公司网络几次,现场可能每年一次。直到最近,它都运行良好 - 甚至常规密码更改也可以在没有 VPN 激活的情况下正常工作。所以这是可以做到的,但我不能告诉你具体怎么做,虽然我没有阻止任何传出端口,我的路由器显示它有时会保持大量 NAT 会话打开,所以一些有趣的事情正在发生。
我将它从 Windows 更新的公司控制中解放出来,这可能很有帮助(也许他们也放松了控制?),因为我通常是自我管理,尽管我仍然从 IT 团队获得其他强制更新。