Задать вопрос
@zao_MetroCraft
Компания...

Как настроить распределённую сеть Active Directory и вытекающие?

Здравствуйте!
Сперва было: Сервер с контроллером домена и прочими службами, главный компьютер и 8 ноутбуков. Всё работало до поры до времени. Теперь в главном офисе 14 персональных компьютеров, один главный, одна тач-панель и сервер с АД. Едем дальше - постепенно появляются мини-офисы, где всего один ноутбук и настольная сеть. Как их подключить к АД? Но и это не всё, появляются переферийные офисы, где 4 ноутбука и один компьютер, появляются сотрудники с ноутбуками и планшетами, которые ездиют по разным городам и даже странам. Позже появятся ПК с Linux (на счёт дистрибутива думаем) и MacBook'и. Планируем добавить 3 сервера в Дата-центре. Как весь этот международный технический зоопарк объединить в одну сеть AD и обеспечить работу прочим сетевым службам?! Все сервера имеют белый IPv4 и два белых прямых IPv6.Из вариантов решения - взять в аренду на год (или на 3 года - дешевле) домен 2-го уровня и переделать сеть делегировав домен DNS серверу AD!
P.s Если есть ошибки - напишите о них в комментариях.
P.p.s Помогите, пожалуйста без игнора!!!
P.s.s Фразочки типа: "Зачем это нужно?" и "для чего?" просьба не писать!
  • Вопрос задан
  • 2082 просмотра
Подписаться 1 Средний Комментировать
Пригласить эксперта
Ответы на вопрос 5
@nukler
местный юродивый
Если будете расширятся и что дальше не понятно.
Вообщем общий смысл. Есть центральный VPN сервер и много VPN клиентов которые обедняются в одну сеть.

1. Центральном офисе PPTP/IPSEC/OVPN и так далее в роли центрального сервера.
2. В мини офисах ставите роутер и через VPN подключайтесь к центральному.

Можно все на микротиках построить, там есть eoip + IPSec, он отлично все соединит в одину сеть, но там есть свои подводные камни в виде не нужных широковещалок и прочего.
Ответ написан
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
Здесь задача распадается на две части (ну, по крайней мере, я полностью одним заходом ее не решил)
Часть1 - в конторе ставится один большой микротик, который потащит на себе VPN. У него должен быть белый IP. Брать модель с аппаратным шифрованием типа RB1100AHx2 (если она уже устарела то брать то, что рекомендуют взамен)

- подключение к AD постоянно работающих мини-офисов. По микротику на офис и настроить постоянный VPN на IPSec - это даст постоянное подключение к сети офиса так, как если бы она находилась в соседней подсети.
- Линухи, планшеты на андроиде, продукция яббла - через IPSec в режиме roadwarrior. На сайте strongswan множество документации, микротик - это тоже линух и там стоит тоже либо шван либо более старый ракун, поэтому для настройки документация сгодится, ну и у микротика своя есть.

Часть 2
- винда - я пока не знаю, как ее цеплять на IPSec, но ее можно подключать на PPTP, пробросом на какой-нибудь виндовый сервер.
Ответ написан
@nApoBo3
Зависит от страны и возможных требований регуляторов. Вообще AD не тривиально ложится на смешанные инфраструктуры, много подводных камней и сложностей с различными сервисами.
Если AD у вас это только для авторизация и вы не в РФ( или риски отключения всего этого добра для вас не слишком велики ) я бы посмотрел в сторону azure ad и office 365.
Второй вариант это строить vpn сети. Тут вы получаете как бы виртуальный офис.
Третий вариант, публичный AD, теоретически это реализуемо, но я с таким не сталкивался, вероятно с точки зрения безопасности это крайне не тривиально.
Есть ещё гибрид второго и третьего варианта на базе ipv6, но тут нужен человек который в этом очень хорошо разбирается.
Ответ написан
@TheStarOf
Очевидный ovpn as service сцентром в ДЦ. Либо windows direct access (по сути то же самое)
Ответ написан
Комментировать
@moneyfornothing
У MS есть RRAS на котором можно реализовать сервис DirectAccess или VPN AnyWhere
VPN AnyWhere - поддерживается клиентами MS "из коробки"... это тупо SSTP или IKEv2 VPN
Клиент пытается поднять соединение, если понимает, что не в доменной сети.
Можно удаленному клиенту сделать офф-лайн джоин в домен, выслать конфиг соединения для VPN и он у вас в домене.

DirectAccess - Нужен Windows7,8,10 Enterprise конфигурируется только групповыми политиками. Работает через HTTPS. IPv6 over HTTPS
Нужно наличие PKI.

Если нравится OVPN, то по скорости обе технологии с ним абсолютно сравнимы, так что разницы не заметите.

Пользователи Linux и Mac не очень сюда вписываются, но можно их завести по SSTP. DirectAccess и VPN могут на сервере вместе существовать.

Другой вариант - Терминальный Сервер + VPN. Пользователи удаленно подключаются по VPN, а дальше RDP на TS. RDP клиенты есть практически под любую ОС.

В общем везде свои нюансы: требования на доступность данных, время простоя, безопасность. Например, стоит ли человеку с доменным компом и с не шифрованным диском шататься где угодно или все же VPN и RDP будет правильным решением. Или, если шифровать, то что делать когда он его в "кирпич" превратит. Как раздавать на Linux и Mac настройки - виндовую GP на них не натянуть. А если они могут без домена, тогда остальных зачем в домен заводить?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы