Como ingressar com segurança em computadores em um domínio do Active Directory em uma rede não confiável?

Concordo com os outros pôsteres que dizem que você precisa de uma solução de camada de rede, mas discordo do conselho de usar um cliente VPN. Isso adiciona complexidade e, se você estiver procurando os clientes na rede não confiável para aplicar a diretiva de grupo durante a inicialização, provavelmente não será possível com um cliente VPN.

A junção de domínio (e autenticação, em geral) seria a menor das minhas preocupações ao operar clientes em uma rede não confiável. Eu estaria muito mais preocupado com o tráfego de texto simples para seus servidores de arquivos, servidores de aplicativos, etc. A criptografia e a autenticação da camada de rede estão em ordem, na minha opinião.

O IPSEC é o que você está procurando aqui. Implantar uma diretiva IPSEC em seus computadores do controlador de domínio que exigem comunicação IPSEC para as sub-redes onde os clientes não confiáveis estão localizados (idealmente, também se aplica aos computadores servidores membros com os quais os clientes também estarão se comunicando) é a primeira etapa.

O segundo passo é usar o protocolo AuthIP para unir os clientes ao domínio com segurança. O AuthIP permite que os clientes estabeleçam conectividade IPSEC com o controlador de domínio durante o processo de associação de domínio. O AuthIP é, infelizmente, bastante mal documentado pela Microsoft. Ele está no Windows Server e nos produtos clientes desde o Windows Vista.

Outra opção pode ser uma VPN do DirectAccess (que funciona "de forma transparente" e não requer execução um programa cliente) juntamente com ingresso no domínio offline para inicializar os clientes no domínio e obtê-los usando o DirectAccess. O DirectAccess é baseado em IPSEC (IPv6 encapsulado em uma rede IPv4 ou IPv6 não confiável para sua LAN confiável), portanto, você também obtém criptografia e autenticação de camada de rede usando esse método.

Você pode carregar um software VPN e fazer com que ele estabeleça uma conexão VPN antes de ingressar no domínio.

Não há como forçar LDAPS sobre LDAP, exceto pelo bloqueio de portas. O Ldaps não é realmente a solução que você precisa aqui. Eu não acredito que o Domain Joins (com windows xp + workstations) use bind simples para conectar.

É importante lembrar que apenas as transferências de dados do LDAP são expostas. Outros dados de autenticação ou autorização usando Kerberos, SASL e até mesmo NTLM possuem seus próprios sistemas de criptografia. Então você não está realmente comprometendo sua conta e senha.

Se precisar, o seguinte Artigo explica como configurar o LDAPS em um domínio do Windows, mas, novamente, é realmente necessário apenas quando você está terceirizando o acesso ao AD.

Isso precisa ser endereçado na camada de rede. Como uslackr recomendado, você pode usar uma VPN para criar uma conexão de rede segura.

O LDAP é apenas um dos muitos protocolos que podem ser necessários, e isso seria uma bagunça para tentar consertar no nível do sistema operacional.

LDAP tcp/389 udp/389
LDAP for Global Catalog tcp/3268
NetBIOS (if used) 137, 138, 139
CIFS tcp/445 udp/445
LDAPS tcp/636
LDAPS for Global Catalog tcp/3269
NTP tcp/123
RPC Dynamic (all ports above 49152 in Windows 7, or above 1024 in Windows 2003)
RPC Endpoint Mapper tcp/135
DNS tcp/53 udp/53
Kerberos tcp/88 (may also need udp/88 if not forcing kerberos over tcp)