Разверните активный каталог ONLY на облаке и соедините рабочие станции с ним БЕЗ VPN (Никакой DCS по предпосылке, Никакой RODCs и т.д.)
Компания не имеет никаких офисов. Все пользователи являются удаленными.
Однако им нужен Active Directory, к которому можно присоединиться к рабочим станциям, и пользователями можно централизованно управлять.
Одно предложение состоит в том, чтобы купить сервер на облаке (AWS, Azure, Rackspace и т.д.) и развернуть Active Directory на нем и затем соединить рабочие станции с этим Active Directory.
С этой установкой, каковы последствия не использования VPN от рабочей станции конечного пользователя до экземпляра сервера на облаке? Кто-либо сделал это без VPN?
На ваш конкретный вопрос - каковы последствия? Контроллеры домена в конфигурации по умолчанию не защищены для общедоступной сети, например, они разрешают привязки LDAP с открытым текстом по умолчанию, что может привести к перехвату ваших паролей. В этой статье описывается процесс отключения простых привязок LDAP https://support.microsoft.com/en-us/kb/935834
В зависимости от того, чего вы надеетесь достичь с точки зрения управления машиной / пользователями, вам следует изучить следующие технологии
Microsoft Intune могут обеспечивать управление машинами, не присоединенными к домену, включая Mac / Linux, с помощью Configuration Manager
Windows Azure Active Directory позволяет централизованно создавать и управлять учетными записями пользователей и предоставлять интерфейс аутентификации ADFS для различных приложений, включая Office 365.
DirectAccess обеспечивает возможность присоединения к домену при прямом подключении к Интернету путем создания VPN-туннеля к вашей облачной сети перед аутентификацией.
Присоединение к рабочему месту - это возможность ADFS, которая позволит вам «присоединиться» устройство в ваш домен через службу ADFS.
Windows Azure может предоставлять общие ресурсы SMB через Интернет. Но общие файловые ресурсы являются устаревшей технологией - используйте Sharepoint Online / OneDrive, если можете.
Политики могут (вроде) выполняться с помощью Windows Intune - вы не получите традиционную конфигурацию групповой политики, но обычно она вам не нужна. если вы не хотите заблокировать свою среду.
Интернет-печать можно настроить в Windows 2012 https://technet.microsoft.com/en-us/library/jj134159.aspx - но вам потребуется сервер где-нибудь для этого. Облачный сервис, несомненно, существует.
Удачи
Шейн
Вы можете защитить свои серверы AD DC из Интернета. Их прямое раскрытие - не лучшая практика. VPN помогает предотвратить это. Вы можете использовать встроенные в Windows VPN-сервисы, которые хоть и не так хороши, но, по крайней мере, дадут вам что-то лучше, чем ничего. Вот ссылка на руководство MS по передовым методам работы с Active Directory. Рекомендации по защите Active Directory Возможно, стоит изучить его, прежде чем продолжить. На странице 78 содержится несколько обзоров о простом использовании Internet Explorer на контроллере домена как о неэффективной практике. Уже одно это должно указывать на то, что раскрывать службы Active Directory в Интернете - плохая идея.
Не делайте этого с традиционными AD DS. Если вам нужно перейти только в облако, вам следует использовать решение Azure Active Directory SaaS с Intune для управления и Windows 10 на рабочем столе. Вы теряете такие вещи, как Kerberos, GPO и т. Д., Но получаете большую гибкость и не имеете инфраструктуры для управления.
Как я уже сказал, это не сравнение 1: 1 функций между AAD и AD DS, поэтому проведите небольшое исследование и убедитесь, что он подходит, но это единственное правдоподобное решение вашего вопроса, если вы полностью не игнорируете передовые методы безопасности и не размещаете DC в общедоступном Интернете.