Active directory для windows фича чисто для локальной сети?

Question

[SomeDude]

Решил поставить винду и поиграться с active directory. Встаёт вопрос о работе active directory вне локальной сети. Возможно ли и рассчитано ли на это?

Comments

[Ульрих]

Что подразумевается под работой вне локальной сети? Какие фичи домена вы используете?

[SomeDude]

Ульрих: Да я вообще без понятия, мне по хорошему просто посмотреть что умеет эта штука и почему так активно все хотят чтоб я это умел. Под работой вне локальной сети подразумеваются ноутбуки, которые отключаются от локальной сети и продолжают работу от модемов.

[Константин Цветков]

SomeDude:

Под работой вне локальной сети подразумеваются ноутбуки, которые отключаются от локальной сети и продолжают работу от модемов.

И при этом могут находиться в домене.

Answer 1

[Ethril]

Совсем вкратце - ДА, если не вспоминать про VPN.
Чуть более развёрнуто - для связи писюка с контроллером домена используется RPC, который по умолчанию использует динамические порты и в нём находили кучу уязвимостей, поэтому публиковать контроллер в Интернет крайне не рекомендуется (хотя технически возможно). Было понапридумано куча костылей для уменьшения опасности, типа RODC и AD-LDS, но всё равно не рекомендуется. Для репликации контроллеров внутри сайта тоже используется RPC, с теми же проблемами. Межсайтовую репликацию контроллеров теоретически можно настроить через SMTP, но этим никто не пользуется.
Короче, на практике связь между отделениями, объединёнными в один домен, всегда организуют через site-to-site VPN-туннели. Связь между писюками и контроллерами либо никак не настраивают (писюк всё сам прозрачно кэширует и более-менее нормально работает вне своего домена, если хотя бы раз в пару месяцев появляется в локальной сети домена), либо также используют point-to-site VPN-туннели, от классического PPTP до прозрачного DirectAccess.

Comments

[SomeDude]

Ну да, я сам в сторону openvpn думал, потому что по мне винда поделие крайне дырявое (вот речь как раз о RPC портах), поэтому без vpn-а наверное никак. Смущает правда тот факт, что получается при таком раскладе будет кошмарно скорость падать и не особо понятно как эта штука будет работать с двумя сетями. Есть что-то типа failsafe dns, чтоб если по одному ip не достучалось, стучало по другому?

[Ethril]

Для базовых операций типа логона на контроллере и обновления-применения политик скорость соединения не важна. Разве что если вы балуетесь roaming profiles, централизованным деплоем софта и обновлений со своего сервера... Практически - даже при использовании SSTP VPN (который туннелирует трафик через HTTPS с относительно большим оверхедом) замедления работы не ощущается, без него файло лилось там скажем 8 метров в сек, с ним будет 7.
Конечно, есть куча вариантов организации отказоустойчивости по VPN, начиная от наколенных скриптов "пробуем один адрес, не получилось - пробуем другой".

Answer 2

[Евгений Хлебников]

Поясните, что вы имеете в виду под "вне локальной сети"?
AD - изначально, это реализация Службы Каталогов от MS.
Зачем службе каталогов существовать вне локальной сети?

Comments

[SomeDude]

Например, компьютер временно покинул локальную сеть.

[Евгений Хлебников]

SomeDude: если он уже в AD побывал, то он будет наследовать все политики и настройки которые были к нему применены.
Так же, не стоит забывать что AD - служба централизованной аутентификации и пароли учетных записей компьютера и домена истекают время от времени.
Соответственно, есть вариант что такой компьютер нельзя будет вернуть обратно без переприсоединения к службе каталогов

[Евгений Хлебников]

пароли учетных записей компьютера и домена

= компьютера и пользователя домена

[Константин Цветков]

yellowmew: Редактирование прекрасно работает — три точки справа внизу.

[Евгений Хлебников]

Константин Цветков: давно не был на тостере, не увидел :DDD Спасибо!