Ramificações remotas e controlador de domínio

1

Eu tenho uma rede muito pequena, mas distribuída. No escritório central, há uma VM do Windows Server 2008 R2 com algumas VMs do Linux em execução na mesma caixa. Existem dois PCs clientes executando o Windows7. Em um local remoto, há um único PC cliente, atualmente conectado ao escritório central com o OpenVPN através de um dos servidores Linux.

Gostaria de migrar do grupo de trabalho para o domínio administrativo para um melhor controle de diretiva de grupo. Eu não poderei justificar o hardware de servidor adicional ou as licenças da Microsoft (essas coisas são ridículas), mas posso facilmente adicionar mais VMs ao servidor existente.

Do jeito que eu vejo, eu tenho algumas decisões a tomar, cada uma com algumas opções.

Qual servidor executa o domínio

  1. Windows Server 2008
    • Solução tradicional de anúncios
    • Não é possível adicionar um controlador de backup sem outra licença
    • O servidor Windows também está executando as funções FTP e AS; Os servidores AD normalmente apenas hospedam o AD.
  2. Uma das caixas do Linux com o Samba
    • Não é a solução tradicional do AD (estou desistindo de algum recurso?)
    • Pode facilmente (ler: mais barato) adicionar um controlador de backup
    • Se necessário (não ideal), pode adicionar um DC no local remoto

Como faço para autenticar / autorizar os locais remotos

  1. Adicione o Linux DC remoto no local remoto (parece um exagero para um cliente remoto)
  2. De alguma forma, conecte-se à VPN antes de fazer o login no Windows (isso é possível?)
  3. Exponha meu AD à internet sem VPN. (parece uma péssima ideia)

Há alguma opção que me falta? Isso tem que ser uma situação muito comum para pequenas empresas, não posso imaginar essas empresas sem TI estão comprando várias caixas WinServer para configurar a solução tradicional de um AD autônomo, um AD de backup autônomo e, em seguida, outra caixa para hospedar tudo o resto ....

Sou um cara do Linux e não tenho problema em sujar as mãos, mas não tenho muita experiência em TI.

    
por Jonathan 15.08.2012 / 08:10

1 resposta

1

A solução ideal seria configurar um túnel VPN site a site e lidar com toda a autenticação contra os DCs no site principal. (Isso, é claro, dependerá do seu equipamento de rede ou de quaisquer servidores de gateway que você possa configurar em cada site.)

Se você colocar um segundo DC no site remoto, você terá os mesmos problemas ao conectar os dois sites para que os DCs possam se comunicar. E, sim, expor o AD à rede pública é todo tipo de pior ideia de sempre. E, deixe-me acrescentar que usar o Linux como seu DC secundário me parece uma idéia muito ruim. Eu aposto que isso pode ser feito, mas eu não gostaria de estar por perto quando o Windows DC falhar e você tiver que tentar restaurar seu único Windows DC. Pode ser "bom o suficiente", mas, bem, como eu disse, eu não confiaria nele, e se não posso confiar nele, por que se preocupar em tê-lo em primeiro lugar?

Se você não puder fazer uma VPN site a site, dependendo do software VPN exato que estiver usando, é possível conectar uma VPN cliente remota sem o contexto do usuário (antes de fazer login no Windows), sim, embora Eu sugeriria que uma ideia mais fácil seria permitir o armazenamento em cache das credenciais de domínio e / ou de uma conta de usuário sem domínio limitado. Armazenar em cache as credenciais de domínio para um cliente que só tem acesso VPN pode ser um pouco de dor de cabeça quando a senha precisa ser alterada, portanto, é uma questão importante.

E pelo que vale a pena, a solução "comum" para este problema parece ser ficar com grupos de trabalho e / ou barato com o administrador de TI que eles contratam, para garantir que eles acabem com um domínio que está funcionando mais maneiras do que eu posso contar. Então, parabéns por tomar a iniciativa para, pelo menos, tentar fazer o certo.

    
por 15.08.2012 / 08:28