我需要将计算机join我们的Active Directory域。 这些电脑在不受信任的networking上。
如何强制客户端计算机使用安全协议(LDAPS而不是LDAP)来join域?
我同意其他海报谁说你需要一个networking层解决scheme,但我不同意使用VPN客户端的build议。 这增加了复杂性,并且如果您正在寻找不受信任的networking上的客户端以便在启动过程中应用组策略,则VPN客户端可能无法使用该策略。
在不受信任的networking上运行客户端时,域join(以及通常的authentication)是我最担心的问题。 我会更关心明文stream量到您的文件服务器,应用程序服务器等networking层encryption和身份validation是在我脑海。
IPSEC是你在这里找的。 在您的域控制器计算机上部署IPSEC策略是需要与不受信任的客户端所在的子网进行IPSEC通信(理想情况下,同样适用于您的成员服务器计算机客户端也将进行通信)的第一步。
第二步是使用AuthIP协议安全地将客户连接到域。 AuthIP允许客户端在域join过程中与域控制器build立IPSEC连接。 不幸的是,AuthIP相当糟糕的logging在微软。 自Windows Vista以来,它一直在Windows Server和客户端产品中。
另一个选项可能是DirectAccess VPN (“透明地”工作,不需要执行客户端程序)以及脱机域join ,将客户端引导到域中并使用DirectAccess获取它们。 DirectAccess是基于IPSEC的(IPv6通过不受信任的IPv4或IPv6networking隧穿到您的信任LAN),因此您也可以使用此方法进行networking层encryption和身份validation。
您可以加载VPN软件并在join域之前build立VPN连接。
除了端口阻塞以外,没有办法通过LDAP强制LDAPS。 虽然Ldaps并不是真正需要的解决scheme。 我不相信域联接(与Windows XP +工作站)使用简单的绑定来连接。
记住只有LDAP数据传输才是重要的。 使用Kerberos,SASL甚至NTLM的其他身份validation或授权数据都有自己的encryption系统。 所以你不是真正的妥协你的join帐户和密码。
如果你需要它,下面的文章解释了如何在Windows域中configurationLDAPS,但是当你是第三方AD访问时,它实际上只是需要。
这需要在networking层解决。 正如uslackr推荐的,您可以使用VPN来创build一个安全的networking连接。
LDAP只是可能需要的许多协议中的一个,而在os级别尝试修复这将是一团糟。
LDAP tcp/389 udp/389 LDAP for Global Catalog tcp/3268 NetBIOS (if used) 137, 138, 139 CIFS tcp/445 udp/445 LDAPS tcp/636 LDAPS for Global Catalog tcp/3269 NTP tcp/123 RPC Dynamic (all ports above 49152 in Windows 7, or above 1024 in Windows 2003) RPC Endpoint Mapper tcp/135 DNS tcp/53 udp/53 Kerberos tcp/88 (may also need udp/88 if not forcing kerberos over tcp)