Как сделать доменную авторизацию через vpn?

Question

[Norustem Norustem]

Доброго вечера всем. Задача поставленная руководством такая. Есть головной офис и два филиала в других городах республики. Головном офисе структура сети доменная, авторизация проходит через КД. Теперь хотелось чтобы филиалы тоже были домене и проходили доменную авторизацию через vpn. Есть нюанс ip адрес получаемый от провайдера динамическая, если не ошибаюсь каждые 12 часов обновляется. Немного погуглил нашел смежные вопросы, но явной решении не нашел, возможно здесь покажете куда копать или по маленькому подскажете?

Comments

[taurus90]

Ваш вопрос не понятен.

[Norustem Norustem]

taurus90: Есть головной офис с поднятым контроллером домена, есть филиалы с компьютерами. Естественно в головном офисе все компьютеры проходят через локальный КД. А компьютеры филиалов так и остаются в рабочей группе, нужно чтобы их тоже перевести в домен

Answer 1

[Андрей Ермаченок]

проходили доменную авторизацию через vpn

Так этот VPN есть или нет?

ip адрес получаемый от провайдера динамическая, если не ошибаюсь каждые 12 часов обновляется

Купите у провайдера "белый" IP адрес - в чем проблема?

Comments

[Norustem Norustem]

Решения VPN решено с помощью SoftEther Vpn, и поднят на самом КД. А вот с белым ip деньги туговато, руководство не выделит такую сумму. Потому что тарифный план не позволяет купить белый IP.

[Андрей Ермаченок]

1. То есть - филиалы подключены по VPN к головному офису? Тогда в чем проблема? Вводите их компы в домен, заводите Юзеров и авторизуйте, как начальство хочет.
2. Если всё решено в VPN - то белый iP как бы и не нужен.
3. Не понятно, о какой республике и каком провайдере речь - в Беларуси и России белый IP стОит 5 - 10$ в месяц. Не та сумма, чтоб нельзя было выделить ради "хотелок" руководства.

[Norustem Norustem]

Андрей Ермаченок: Живем в Казахстане с монополистом КазахТелеком. У них чтобы белый ip адрес взять абонент плата 20$ + 200$ за инет со скоростью 4 мб/с download и 1 мб/с upload

[Norustem Norustem]

Андрей Ермаченок: При активном соединений филиаловского компа через vpn я КД вижу, если я подключу к домену при активном соединений, то после перезагрузки как можно выбрать подключение vpn? Есть идеи???

[Андрей Ермаченок]

Рустам Ногаев: Тут встречный вопрос: AD авторизация, VPN и прочее при небольшой фирме, 1-2 компах в филиалах, дорогом Интернете - для чего оно надо? Ведь всё это - инструменты для решения каких-то задач, а не задачи сами по себе.
Так что - напишите внятное ТЗ, что и зачем нужно делать, потом решайте исходя из местной специфики.
Скажем, нужен был нашему представителю доступ из Казахстана к офисной файлопомойке. Головной офис - в Беларуси. Ну настроил ему удаленный доступ к терминальному серверу по RDP. Он подключался и работал с ноута через Инет, как на своем офисном компе. Что нужно - копировал на локальный диск ноутбука.
Да, были проблемы с Инетом примерно как у вас - жутко дорогой Инет по проводам для юрлиц.

Answer 2

[Сергей]

мухи и котлеты отдельно! я про впн и домен. на местах для домена RODC. хотя бы на центральном сервере придется для впн "поднять" реальник. и до него стучаться уже хоть откуда. иначе придется связующий сервис юзать. что нот гуд!

Comments

[Norustem Norustem]

Можно ли решить данную задачу без RODC, потому что филиалы только открылись и штат сотрудников не большой всего пару человек.

[Сергей]

можно. заворачивать всех на основной контроллер. ну вот что произойдет когда вы выпадете с онлайна надолго?)

[Norustem Norustem]

И еще к моему неопытностью с поднятием домена. Я сервиса установил вместе. VPN поднят на базе Softether VPN

[Norustem Norustem]

Сергей: В данный момент у меня два интернет канала 1-й канал adsl а второй через lte модем. Думаю что не отпаду надолго. Какие нибудь варианты есть?

[Сергей]

почитайте. там ничего сложного нет. главное чтоб контроллер был в зоне видимости компов. а это значит что компы должны иметь в качестве днс именно его. и не важно насколько сложная маршрутизация(в теории).

[Сергей]

у вас по идее реализован наиболее оптимальный вариант исходя из ваших реалий. просто разрешите входить в домен по последней учетке что вводилась на компе и у вас будет время на разгребание проблем.

[Norustem Norustem]

Сергей: При активном соединений филиаловского компа через vpn я КД вижу, если я подключу к домену при активном соединений, то после перезагрузки как можно выбрать подключение vpn? Есть идеи???

[Norustem Norustem]

Сергей: В голове уже посветлее стало, на днях проверю... Спасибо за подсказку

[Сергей]

вы как-то замудренно ставите вопрос. честно слово. я понимаю что вы видите контроллер домена через впн. предположим он отвалился. значит контроллер исчез из вашей зоны видимости. компы продолжат работать, но по второму днс-серверу(предположим 8.8.8.8). запросы к контроллеру никуда не пойдут до момента возвращения его в поле видимости.

[Сергей]

то есть интернет на местах у вас в любом случае будет при такой схеме

[Norustem Norustem]

И еще возник вопрос при настройки групповой политики на сервере как будет применяться на филиальных компьютерах? Получается доменная учетная запись будет подрублено только присоединение vpn.

[Сергей]

это для вас филиал. а для КД это тупо компы. И начхать что они за тридевять земель. про групповые политики почитайте когда они вообще обновляются. и вы сильно плаваете в теории АД. доменная учетка не подрубается к АД. она авторизуется через него. и после этого КД на нее ... начхать! для этого не нужно постоянное соединение с ним.

[Сергей]

блин. без обид ... но вы плаваете в самом очевидном. надеюсь не накосячите )

[Norustem Norustem]

Сергей: Учимся админить ))) Из за этого советы просим и наверно разветвляем обычные вопросы))) Думаю не грех спросить чего не знаешь, и самое главное не накосячить ))))

[Сергей]

рустам ты не прав. вопросы нужно задавать исходя из того что не ясно. а у тебя аццкий пробел в знаниях. тут нужна учеба, а не ответы на вопрос ).