不是我的面包和黄油,所以我希望我会清楚。 我有很多Windows 7工作站在防火墙后面运行。 我的公司组织内部有一个Active Directory,位于防火墙之后。 我在防火墙上的function非常有限…打开一个或两个端口可能会很好,但就是这样。
底线,我需要通过Active Directory集中我的用户和策略。 我可以通过VPN吗? 第一次身份validation将如何进行?
我可以通过SSH隧道(假设我有适当的基础设施,显然只能在login后运行)吗?
谢谢
您需要做的第一件事是将每个工作站连接到域。 为此,每个工作站都需要能够与Active Directory集成DNS服务器(这是域控制器)进行通信。 你绝对不应该做的是打开端口的encryptionADstream量从远程工作站到您的域控制器。 这是一个坏主意,我甚至不会讨论它。
我可以通过VPN吗? 第一次身份validation将如何进行?
是的,你可以使用VPN。 如果这样做,则每个工作站都需要首先连接到Internet,然后使用caching的凭据通过本地帐户或AD帐户进行身份validation,然后通过VPN进行身份validation。 这是做错的方法。 我看到很多人试图这样做,并请所有的ITpipe理员的爱不要这样做。 你只会创造更多的问题,以后需要修复。 更重要的是,这将会非常可怕。 🙂
更好的select是在每个办公室中使用站点到站点的VPN,在这些办公室中工作站join到域中,或者向ISP支付在每个办公室与域控制器所在的主办公室之间build立第2层电路。
最好的解决scheme是在每个办公室都有一个DC,然后用一个二层电路将每个办公室连接到总部。 ADauthentication和更新发生在每个本地DC,并且本地DC通过二层电路与主办公室的DC同步变化。
提出产品build议是服务器故障的主题,但底线是您需要build立每个工作站和域控制器之间的连接。 另一种方法是将每个工作站连接到域控制器所在的networking,然后将工作站连接到域,但实际上这不是正确的方法。 如果您打算在远程位置安装这些工作站,并且您需要将这些工作站join到域中,那么您可能需要研究站点到站点的VPN以及可以从当前ISP购买的两层线路。