Можно, если контроллер домена AD не может связаться с членами домена?
Из-за определенных ограничений конкретный сайт AD не может иметь локальных контроллеров домена, а также не может быть установлен туннель VPN типа "сеть-сеть" для других места. Вместо этого члены домена здесь используют VPN типа «точка-сеть» / с телефонным подключением для подключения к удаленным контроллерам домена.
Члены домена могут достигать и получать доступ к контроллерам домена без проблем через VPN, однако из-за межсетевого экрана и характера точки -to-site VPN, контроллеры домена не смогут когда-либо устанавливать соединения с этими изолированными членами домена.
Подходит ли этот постоянный односторонний дизайн для этих членов домена? Или возникнут какие-либо сложности, когда дело доходит до определенных функций / сценариев?
Для применения некоторых групповых политик требуется подключение к контроллеру домена во время запуска: задачи, выполняемые как сценарии запуска, или развертывание программного обеспечения могут получить доступ к файлам в SYSVOL только во время запуска системы.
Если после этого будет установлено VPN-соединение, эти клиенты могут никогда не запускать эти задачи или обновлять это программное обеспечение, и вам придется соответствующим образом изменить процедуры развертывания.
Я никогда не было необходимости в контроллерах домена для инициирования контакта с членами домена. Этот дизайн, по сути, такой же, как работа из домашнего сообщества, которая использует исключительно точку-сеть VPN. Если бы использовался DirectAccess, не было бы никакой разницы, но DirectAccess - это тупиковый продукт.
Типичная проблема в этом сценарии заключается в том, что если кто-то не может войти в систему с кэшированными учетными данными, он может быть недоступен, пока не заберет / не отправит свой компьютер в место, где есть соединение с контроллером домена.
Некоторые клиенты VPN (Cisco сделала это несколько лет назад по крайней мере) можно настроить так, чтобы разрешить запуск сеанса до входа в Windows.
Мой ноутбук подключается к сети компании лишь несколько раз раз в год через VPN и на месте, возможно, ежегодно. И до недавнего времени работало отлично - даже обычная смена пароля как-то работала без активного VPN. Так что это можно сделать, но я не могу точно сказать, как, хотя я не блокирую исходящие порты, и мой маршрутизатор показывает, что время от времени поддерживает огромное количество сеансов NAT, так что происходит кое-что интересное.
Я освободил его от корпоративного контроля обновлений Windows, который вполне может помочь (может быть, они тоже его ослабили?), Поскольку я в целом самоуправляюсь, хотя я все еще получаю другие обязательные обновления от ИТ-команды.