我们可以通过本地机器对远程托pipe的DC进行身份validation,而无需VPN连接到服务器。 服务器有公共IP和本地机器正在使用NAT。 目前没有任何其他连接除了Internet访问像VPN这样的服务器。 所以请给我一个这种情况的build议,以及如何validation远程DC没有VPN? 或者哪个是正确的方式来validation远程DC和如何做到这一点? 提前致谢
可以说,使用VPN访问远程域控制器(DC)计算机是正确的方式TM访问它。 据推测,VPN会终止某种types的防火墙,阻止DC直接通过Internet访问。 到目前为止,Active Directory(AD)的所有版本都不build议在面向Internet的configuration中与DC一起部署。 AD的devise并没有考虑到互联网威胁模型。
如果您在每台客户端计算机上使用软件VPN客户端,或者连接到networking的硬件VPN客户端,则不清楚您的问题。 在我看来,使用硬件VPN客户端可以获得更好的体验,使得本地计算机在启动任何VPN客户端软件之前能够在启动期间访问DC。 我发现使用软件VPN客户端更麻烦,并创build额外的失败模式。
您也可以查看微软的DirectAccess VPN。 这会使DC的托pipenetworking变得更加复杂,但它可能会给你一个更“透明”的VPN体验。 (您还需要客户端操作系统的“企业版”)。