Um controlador de domínio baseado em nuvem por trás de uma VPN é viável?

Navegue suas respostas
5

Estou pensando em configurar um controlador de domínio do Windows no MS Azure dentro de uma rede virtual do Azure. O objetivo é ser capaz de gerenciar centralmente os GPs e usuários.

Isso é viável, já que os computadores clientes precisariam essencialmente estar na VPN antes de poderem autenticar?

Acho que posso configurar uma conexão VPN de site para site para nosso escritório, mas temos alguns usuários nômades que são quase sempre móveis.

    
por Brian Adkins 25.05.2013 / 01:55

3 respostas

6

É definitivamente viável e suportado para executar um controlador de domínio no Azure. Depende do que você deseja alcançar para saber se essa é a melhor opção. Se você estiver olhando principalmente para gerenciar a política do PC cliente e fornecer autenticação, geralmente você deseja um DC próximo às máquinas que ele atende. Se a maioria dos usuários estiver em um escritório e você tiver infra-estrutura lá, ainda é uma boa idéia manter seu DC no escritório perto deles. O principal motivo para colocar outro controlador de domínio no Azure seria o serviço de aplicativos que você também está colocando em VMs do Azure que exigem autenticação do AD ou acesso ao diretório.

Se você quiser se afastar da infraestrutura local e ainda precisar da política de grupo tradicional e do gerenciamento de identidades, é possível usar DCs no Azure e fornecer acesso por meio de uma VPN, como você disse. Há a opção de site a site para estender sua rede para o Azure, ou você pode dar uma olhada no novo recurso VPN ponto a ponto que permite o acesso direto da VPN ao Azure usando um agente instalado em cada cliente. Isso pode funcionar bem para uma pequena base de usuários.

link

Lembre-se também de que o Windows armazena em cache as credenciais, de modo que, desde que você receba um usuário autenticado uma vez por meio da VPN, ele não precisará ser executado para efetuar login posteriormente. É claro que eles precisarão fazer login periodicamente para aplicar a política mais recente, que pode ser reforçada ou incentivada por meio de um script de logon, etc.

Espero que ajude.

    
por 26.05.2013 / 22:38
1

A solução clássica para isso é configurar uma VPN que um computador pode usar sem um login de usuário; O mecanismo usado é semelhante ao dos dias antigos, quando alguém pode discar uma conexão com a Internet para se conectar ao seu domínio. Configurá-lo pode ser um pouco difícil, porque você precisa definir a conexão VPN de forma que ela possa ser iniciada através da API de conexões de rede sem ter que carregar um programa cliente (basicamente, você precisa implantar o PPP). / p>

Uma maneira mais recente e mais fácil de fazer isso é usar o DirectAccess, que a Microsoft lançou para esse caso de uso exato; um guia detalhado está disponível aqui . É basicamente uma solução de VPN.

    
por 25.05.2013 / 06:43
0

Procure no DirectAccess, que funciona como um cliente SSL-VPN na camada de computador. Eu não acho que você pode executar seu servidor de acesso direto no Azure, como o Azure é somente TCP.

O ponto, porém, é o seguinte: Se você precisa ser capaz de gerenciar computadores fora do seu datacenter, eu diria que colocar um controlador de domínio no Azure é um mau negócio. Está se tornando popular implantar uma réplica DC no Azure, mas elas são implantadas para a resiliência de um site secundário e a capacidade de ter cargas de trabalho baseadas na nuvem para a autenticação do AD em relação a ele.

Você pode ter seus usuários VPN em um DC baseado em nuvem. Mas por que eles? Nenhum usuário que conheço está particularmente interessado em garantir que seus computadores sejam gerenciados.

A solução da Microsoft para tudo isso é o DirectAccess. Pode não ser o ajuste certo para você, mas vale a pena ler.

    
por 30.05.2013 / 17:12

Tags

Esta localização de rede não pode ser incluída porque não está indexada Como você executa um cmd.script depois que os arquivos de pré-requisitos foram baixados?