我正在考虑在Azure虚拟networking中的MS Azure中设置Windows域控制器。 目标是能够集中pipe理GP和用户。
这是否可行,因为客户端计算机在进行身份validation之前必须基本上位于VPN上?
我想我可以build立一个站点到站点的VPN连接到我们的办公室,但我们有一些几乎总是移动的游牧用户。
在Azure中运行域控制器是绝对可行和支持的。 这取决于你想要达到的目标是否是最好的select。 如果您主要想要pipe理客户端PC策略并提供身份validation,那么您通常希望DC靠近所服务的计算机。 如果大多数用户在办公室里,而且你有基础设施,把你的办公室留在他们附近的办公室还是个好主意。 在Azure中放置另一个DC的主要原因是要为Azure VM中需要AD身份validation或目录访问的应用程序提供服务。
如果您希望摆脱内部基础架构,仍然需要传统的组策略和身份pipe理,则可以使用Azure中的DC并按照您所说的通过VPN提供访问。 您可以通过站点到站点将networking扩展到Azure,也可以查看新的点对点VPNfunction,该function允许使用每个客户端上安装的代理直接VPN访问Azure。 这对于小型用户群来说可以很好地工作。
https://azure.microsoft.com/documentation/articles/vpn-gateway-point-to-site-create/
还要记住,Windowscaching凭据,所以只要通过VPN获得一个用户身份validation,他们就不需要运行它来login。 当然,他们需要定期login才能应用最新的策略,这可以通过login脚本来强制或鼓励。
希望有所帮助。
传统的解决scheme是build立一个没有用户login的计算机可以使用的VPN; 使用的机制类似于古代有人可能拨打互联网连接到他们的域名的机制。 设置这个过程可能有点麻烦,因为您必须定义VPN连接,以便通过networking连接API实际启动VPN连接,而无需加载客户端程序(基本上,您必须部署PPP)。
一个更新,更容易的方法是使用DirectAccess,微软已经发布了这个确切的用例; 详细的指南可以在这里find 。 这基本上是一个VPN解决scheme。
查看DirectAccess,它在计算机层上作为SSL-VPN客户端。 我不认为你可以在Azure上运行你的directaccess服务器,因为Azure只是TCP。
问题是,如果你需要能够pipe理数据中心之外的计算机,那么我认为把一个DC放在Azure中是一件坏事。 在Azure中部署DC副本越来越stream行,但是这些部署用于辅助站点的恢复能力以及使基于云的工作负载能够AD身份validation的能力。
你当然可以让你的用户VPN到一个基于云的DC。 但是他们为什么呢? 没有我知道的用户对确保他们的电脑得到pipe理特别感兴趣。
所以。 微软的解决scheme就是DirectAccess。 这可能不适合你,但值得一读。