Выполним облачный контроллер домена позади VPN?
Папка данных была помещена сюда для меня, я запускаю Windows 7 64 бита.
C:\ProgramData\MySQL
Определенно возможно и поддерживается запуск контроллера домена в Azure. Это зависит от того, чего вы хотите достичь, и будет ли это лучшим вариантом. Если вы в первую очередь хотите управлять политикой клиентского ПК и обеспечивать аутентификацию, то обычно вам нужен DC рядом с машинами, которые он обслуживает. Если большинство пользователей находится в офисе, и у вас там есть инфраструктура, все же рекомендуется держать ваш DC в офисе рядом с ними. Основная причина для размещения еще одного контроллера домена в Azure будет заключаться в обслуживании приложений, которые вы также размещаете на виртуальных машинах Azure, которые требуют аутентификации AD или доступа к каталогам.
Если вы хотите уйти от локальной инфраструктуры и по-прежнему нуждаетесь в традиционной групповой политике и управление идентификацией, вы можете использовать контроллеры домена в Azure и предоставлять доступ через VPN, как вы сказали. Существует возможность расширения сети в Azure с помощью межсайтовой связи, или вы можете взглянуть на новую возможность VPN типа «точка-сеть» , которая обеспечивает прямой доступ к VPN в Azure с помощью агента, установленного на каждый клиент. Это может сработать для небольшой базы пользователей.
https://azure.microsoft.com/documentation/articles/vpn-gateway-point-to-site-create/
Помните также, что Windows кэширует учетные данные, поэтому до тех пор, пока вы авторизуете пользователя один раз через VPN, им не нужно будет запускать его для последующего входа в систему. Конечно, им нужно будет периодически входить в систему, чтобы применять последнюю политику, которая может быть реализована или поддержана с помощью сценария входа и т. Д.
Надеюсь, что это поможет.
или вы можете взглянуть на новую возможность VPN типа «точка-сеть» , которая обеспечивает прямой доступ VPN в Azure с помощью агента, установленного на каждом клиенте. Это может сработать для небольшой базы пользователей.https://azure.microsoft.com/documentation/articles/vpn-gateway-point-to-site-create/
Помните также, что Windows кэширует учетные данные, поэтому до тех пор, пока вы авторизуете пользователя один раз через VPN, им не нужно будет запускать его для последующего входа в систему. Конечно, им нужно будет периодически входить в систему, чтобы применять последнюю политику, которая может быть реализована или поддержана с помощью сценария входа и т. Д.
Надеюсь, что это поможет.
или вы можете взглянуть на новую возможность VPN типа «точка-сеть» , которая обеспечивает прямой доступ через VPN к Azure с помощью агента, установленного на каждом клиенте. Это может сработать для небольшой базы пользователей.https://azure.microsoft.com/documentation/articles/vpn-gateway-point-to-site-create/
Помните также, что Windows кэширует учетные данные, поэтому до тех пор, пока вы авторизуете пользователя один раз через VPN, им не нужно будет запускать его для последующего входа в систему. Конечно, им нужно будет периодически входить в систему для применения последней политики, которая может быть реализована или поддержана с помощью сценария входа в систему и т. Д.
Надеюсь, что это поможет.
com / documentation / articles / vpn-gateway-point-to-site-create /Помните также, что Windows кэширует учетные данные, поэтому, если вы авторизуете пользователя один раз через VPN, он им не понадобится. работает, чтобы войти в систему впоследствии. Конечно, им нужно будет периодически входить в систему, чтобы применять последнюю политику, которая может быть реализована или поддержана с помощью сценария входа и т. Д.
Надеюсь, что это поможет.
com / documentation / articles / vpn-gateway-point-to-site-create /Помните также, что Windows кэширует учетные данные, поэтому, если вы авторизуете пользователя один раз через VPN, он им не понадобится. работает, чтобы войти в систему впоследствии. Конечно, им нужно будет периодически входить в систему для применения последней политики, которая может быть реализована или поддержана с помощью сценария входа в систему и т. Д.
Надеюсь, что это поможет.
Посмотрите на DirectAccess, который работает как клиент SSL-VPN на уровне компьютера. Я не думаю, что вы можете запустить свой сервер прямого доступа в Azure, поскольку Azure - это только TCP.
Суть в следующем: если вам нужно иметь возможность управлять компьютерами за пределами вашего центра обработки данных, я бы сказал, что размещение DC в Azure - плохая сделка. Становится популярным развертывание реплик DC в Azure, но они развертываются для обеспечения отказоустойчивости вторичного сайта и возможности облачных рабочих нагрузок для аутентификации AD против него.
Конечно, вы можете подключить своих пользователей к VPN. облачный ЦОД. Но зачем им это? Ни один из известных мне пользователей не особенно заинтересован в том, чтобы их компьютеры находились под управлением.
Итак. Решение Microsoft для всего этого - DirectAccess. Возможно, он вам не подходит, но он
Классическим решением этой проблемы является настройка VPN, которую компьютер может использовать без входа пользователя; Используемый механизм аналогичен тому, который использовался в древние времена, когда кто-то мог набрать Интернет-соединение для подключения к своему домену. Настройка этого может быть довольно сложной задачей, потому что вы должны определить VPN-соединение таким образом, чтобы его можно было фактически инициировать через API сетевых подключений без необходимости загружать клиентскую программу (в основном, вам необходимо развернуть PPP).
Более новый и, вероятно, более простой способ сделать это - использовать DirectAccess, который Microsoft выпустила именно для этого варианта использования; подробное руководство доступно здесь . По сути, это решение VPN.