Задать вопрос
@SomeDude

Active directory для windows фича чисто для локальной сети?

Решил поставить винду и поиграться с active directory. Встаёт вопрос о работе active directory вне локальной сети. Возможно ли и рассчитано ли на это?
  • Вопрос задан
  • 744 просмотра
Подписаться 2 Оценить 3 комментария
Решения вопроса 1
@Ethril
Совсем вкратце - ДА, если не вспоминать про VPN.
Чуть более развёрнуто - для связи писюка с контроллером домена используется RPC, который по умолчанию использует динамические порты и в нём находили кучу уязвимостей, поэтому публиковать контроллер в Интернет крайне не рекомендуется (хотя технически возможно). Было понапридумано куча костылей для уменьшения опасности, типа RODC и AD-LDS, но всё равно не рекомендуется. Для репликации контроллеров внутри сайта тоже используется RPC, с теми же проблемами. Межсайтовую репликацию контроллеров теоретически можно настроить через SMTP, но этим никто не пользуется.
Короче, на практике связь между отделениями, объединёнными в один домен, всегда организуют через site-to-site VPN-туннели. Связь между писюками и контроллерами либо никак не настраивают (писюк всё сам прозрачно кэширует и более-менее нормально работает вне своего домена, если хотя бы раз в пару месяцев появляется в локальной сети домена), либо также используют point-to-site VPN-туннели, от классического PPTP до прозрачного DirectAccess.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@yellowmew
Cloud infrastructure, monitoring engineer. SRE
Поясните, что вы имеете в виду под "вне локальной сети"?
AD - изначально, это реализация Службы Каталогов от MS.
Зачем службе каталогов существовать вне локальной сети?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы