Как настроить распределённую сеть Active Directory и вытекающие?

Question

[ЗАО МетроКрафт]

Здравствуйте!
Сперва было: Сервер с контроллером домена и прочими службами, главный компьютер и 8 ноутбуков. Всё работало до поры до времени. Теперь в главном офисе 14 персональных компьютеров, один главный, одна тач-панель и сервер с АД. Едем дальше - постепенно появляются мини-офисы, где всего один ноутбук и настольная сеть. Как их подключить к АД? Но и это не всё, появляются переферийные офисы, где 4 ноутбука и один компьютер, появляются сотрудники с ноутбуками и планшетами, которые ездиют по разным городам и даже странам. Позже появятся ПК с Linux (на счёт дистрибутива думаем) и MacBook'и. Планируем добавить 3 сервера в Дата-центре. Как весь этот международный технический зоопарк объединить в одну сеть AD и обеспечить работу прочим сетевым службам?! Все сервера имеют белый IPv4 и два белых прямых IPv6.Из вариантов решения - взять в аренду на год (или на 3 года - дешевле) домен 2-го уровня и переделать сеть делегировав домен DNS серверу AD!
P.s Если есть ошибки - напишите о них в комментариях.
P.p.s Помогите, пожалуйста без игнора!!!
P.s.s Фразочки типа: "Зачем это нужно?" и "для чего?" просьба не писать!

Answer 1

[Juhani Lahtinen]

Если будете расширятся и что дальше не понятно.
Вообщем общий смысл. Есть центральный VPN сервер и много VPN клиентов которые обедняются в одну сеть.

1. Центральном офисе PPTP/IPSEC/OVPN и так далее в роли центрального сервера.
2. В мини офисах ставите роутер и через VPN подключайтесь к центральному.

Можно все на микротиках построить, там есть eoip + IPSec, он отлично все соединит в одину сеть, но там есть свои подводные камни в виде не нужных широковещалок и прочего.

Comments

[Александр]

Ох, только не EoIP, с объединением отлично справится IPIP/GRE, нужно только сети грамотно разбить.

[Juhani Lahtinen]

Satauchi Kimoto, Да я и не против. Это только инструмент, какой именно инструмент применять, дело каждого.
Хотя я вот о проблемах eoip не слышал.

[ЗАО МетроКрафт]

Juhani Lahtinen,

Вообщем общий смысл. Есть центральный VPN сервер и много VPN клиентов которые обедняются в одну сеть.

Полносвязанный L2 VPN и так будет делаться, для других служб нужен. И получается его можно использовать для AD.

[Александр]

Juhani Lahtinen, проблема не в самой технологии, а в бриджевании через интернет, выглядит удобно, но на деле несёт с собой кучу потенциальных жопоболей. А так я с вами согласен.

Answer 2

[CityCat4]

Здесь задача распадается на две части (ну, по крайней мере, я полностью одним заходом ее не решил)
Часть1 - в конторе ставится один большой микротик, который потащит на себе VPN. У него должен быть белый IP. Брать модель с аппаратным шифрованием типа RB1100AHx2 (если она уже устарела то брать то, что рекомендуют взамен)

- подключение к AD постоянно работающих мини-офисов. По микротику на офис и настроить постоянный VPN на IPSec - это даст постоянное подключение к сети офиса так, как если бы она находилась в соседней подсети.
- Линухи, планшеты на андроиде, продукция яббла - через IPSec в режиме roadwarrior. На сайте strongswan множество документации, микротик - это тоже линух и там стоит тоже либо шван либо более старый ракун, поэтому для настройки документация сгодится, ну и у микротика своя есть.

Часть 2
- винда - я пока не знаю, как ее цеплять на IPSec, но ее можно подключать на PPTP, пробросом на какой-нибудь виндовый сервер.

Comments

[ЗАО МетроКрафт]

CityCat4,

Часть1 - в конторе ставится один большой микротик, который потащит на себе VPN. У него должен быть белый IP.

Для какой цели ставить какие-то Microtik'и, если есть сервер, который выполняет маршрутизацию, файервол, nat, dhcp, dns, Ad и собираемся l2 vpn на него ставить?

Линухи, планшеты на андроиде, продукция яббла - через IPSec в режиме roadwarrior. На сайте strongswan множество документации, микротик - это тоже линух и там стоит тоже либо шван либо более старый ракун, поэтому для настройки документация сгодится, ну и у микротика своя есть.

Как из по vpn подключить найдём, а как их в домен ввести.

Часть 2
- винда - я пока не знаю, как ее цеплять на IPSec, но ее можно подключать на PPTP, пробросом на какой-нибудь виндовый сервер.

Во первых сам IPSec не имеет достаточной аутентификации и поэтому его нужно использовать в связке L2TP/IPsec или EoIP/IPSec + NAT-T. Винда поддерживает L2TP/IPSec или можно кастомный клиент поставить!

[CityCat4]

Для какой цели ставить какие-то Microtik'и, если есть сервер, который выполняет маршрутизацию, файервол, nat, dhcp, dns, Ad и собираемся l2 vpn на него ставить?

Ох, ну едрить же твою мать! Я должен от ужаса перед всеми этими аббр...и т.д. - превратиться в мышь? :) Файрволл, AD и все прочее - на одном сервере? Ну, мне жаль Ваших юзеров :) Про разделение зон безопасности слышали, не? Ну так вот, файрволл и маршрутизацию (а также NAT) - обычно выносят на роутер, который стоит перед локальной сеткой - почитайте на досуге, что такое DMZ и накуа она нужна, прежде чем пугать мине страшными словами (которые я знаю лет двадцать как :D) И как раз обычно в роли данного роутера выступает мироктик либо циска. На котором и подымаются все необходимые VPN. Или Вы хотите винду голой жопой в тырнет? Ну... слабоумие и отвага :)

а как их в домен ввести.

Зачем? Линух можно ввести в домен, я знаю как минимум три способа это сделать, только зачем? Кроме учеток доменных, с AD не высосать ничего. Ну разве только инвентаризационный факт наличия данного бокса. Андроид и яббловские девайсы ввести в домен невозможно и никому не нужно (хотя эксч вроде как-то учитывает мобильные устройства)

Во первых сам IPSec не имеет достаточной аутентификации

Чи-во? "Это он спьяну или сдуру?" (С) В джазе только девушки
Ничего ни с чем не перепутали? Там аутентификации столько, что можете опухнуть, но не пробиться через нее, если неверно настроите.
В общем, я вижу, что кроме как виндой Вы ничем не владеете и хотите построить сеть сугубо на винде. Ну удачи.

[ЗАО МетроКрафт]

CityCat4,

Ох, ну едрить же твою мать! Я должен от ужаса перед всеми этими аббр...и т.д. - превратиться в мышь? :) Файрволл, AD и все прочее - на одном сервере? Ну, мне жаль Ваших юзеров :) Про разделение зон безопасности слышали, не? Ну так вот, файрволл и маршрутизацию (а также NAT) - обычно выносят на роутер, который стоит перед локальной сеткой - почитайте на досуге, что такое DMZ и накуа она нужна, прежде чем пугать мине страшными словами (которые я знаю лет двадцать как :D) И как раз обычно в роли данного роутера выступает мироктик либо циска. На котором и подымаются все необходимые VPN. Или Вы хотите винду голой жопой в тырнет? Ну... слабоумие и отвага :)

Если разделение зон безопасности так важно, то будет стоять отдельно сервер маршрутизации на Linux, другой на Windows Server 2019 с AD и вытекающими. Просто на роутер не надо нагружать кучу задач!

Линух можно ввести в домен, я знаю как минимум три способа это сделать

Какие, расскажите о них!

[CityCat4]

Даня Джен,

Просто на роутер не надо нагружать кучу задач!

Не надо - это верно. Но VPN - это задача как раз для роутера, потому что любой комп после броска питания может не подняться, а вот роутер поднимется с гораздо большей вероятностью. Что это даст? Ну, это даст возможность удаленно добраться до iKVM/iLO/iDRAC (в зависимости от того, что там у Вас - у Вас же нормальное серверное железо на сервере, да? :) )

Какие, расскажите о них!

1. Samba. net ads join. Обычно используют когда нужна полная имитация поведения винды - не только получить юзеров, но и шарить ресурсы.
2. adcli + sssd. Используют, когда нужны только юзера, чтобы не тащить самбу на комп (потенциально можно использовать только winbind, но самбу все равно тащить)
3. Likewise. Сам никогда не пользовал, знаю только что есть.

Answer 3

[nApoBo3]

Зависит от страны и возможных требований регуляторов. Вообще AD не тривиально ложится на смешанные инфраструктуры, много подводных камней и сложностей с различными сервисами.
Если AD у вас это только для авторизация и вы не в РФ( или риски отключения всего этого добра для вас не слишком велики ) я бы посмотрел в сторону azure ad и office 365.
Второй вариант это строить vpn сети. Тут вы получаете как бы виртуальный офис.
Третий вариант, публичный AD, теоретически это реализуемо, но я с таким не сталкивался, вероятно с точки зрения безопасности это крайне не тривиально.
Есть ещё гибрид второго и третьего варианта на базе ipv6, но тут нужен человек который в этом очень хорошо разбирается.

Comments

[ЗАО МетроКрафт]

nApoBo3,

Если AD у вас это только для авторизация и вы не в РФ( или риски отключения всего этого добра для вас не слишком велики ) я бы посмотрел в сторону azure ad и office 365.

Во первых кто-нибудь кроме Microsoft'a использует azure ad?, а во вторых, чего бояться то?

Второй вариант это строить vpn сети. Тут вы получаете как бы виртуальный офис.

И так планируем делать VPN, для программ нужен!

Третий вариант, публичный AD, теоретически это реализуемо, но я с таким не сталкивался, вероятно с точки зрения безопасности это крайне не тривиально.

Он и пришёл первый на ум, но как его реализовать?

Есть ещё гибрид второго и третьего варианта на базе ipv6, но тут нужен человек который в этом очень хорошо разбирается.

Можно написать Ps скрипты, которые будут одновременно и шары настраивать, и vpn и Ad, но как написать такие скрипты?!

[nApoBo3]

Даня Джен,

Во первых кто-нибудь кроме Microsoft'a использует azure ad?, а во вторых, чего бояться то?

У меня статистики нет, но думаю да, с помощью azure ad можно сделать доменную авторизацию облачных сервисов, в гибридных инфраструктурах это актуально.

И так планируем делать VPN, для программ нужен!

Ну тогда на этом варианте и остановитесь. Только учите, что штатно тоннель поднимается после логина пользователя.

Он и пришёл первый на ум, но как его реализовать?

Насколько я понимаю он не рекомендуется Microsoft. Если очень нужно MS рекомендует развернуть AD LDS на периметре.

По третьему варианту от MS есть решение DirectAccess. Машина как только цепляется к сети сразу сама строит туннель. Таким образом машина даже без активного сеанса и без действий пользователя сам подключается к локальным ресурсам.

[ЗАО МетроКрафт]

nApoBo3,

По третьему варианту от MS есть решение DirectAccess. Машина как только цепляется к сети сразу сама строит туннель. Таким образом машина даже без активного сеанса и без действий пользователя сам подключается к локальным ресурсам.

Пожалуй лучший вариант, но как его настроить?! Можно пожалуйста гайды и примеры!

[nApoBo3]

Даня Джен,
https://docs.microsoft.com/en-us/windows-server/re...

[ЗАО МетроКрафт]

nApoBo3, Спасибо, большое за поддержку, помощь и ответ!

Answer 4

[TheStarOf]

Очевидный ovpn as service сцентром в ДЦ. Либо windows direct access (по сути то же самое)

Answer 5

[moneyfornothing]

У MS есть RRAS на котором можно реализовать сервис DirectAccess или VPN AnyWhere
VPN AnyWhere - поддерживается клиентами MS "из коробки"... это тупо SSTP или IKEv2 VPN
Клиент пытается поднять соединение, если понимает, что не в доменной сети.
Можно удаленному клиенту сделать офф-лайн джоин в домен, выслать конфиг соединения для VPN и он у вас в домене.

DirectAccess - Нужен Windows7,8,10 Enterprise конфигурируется только групповыми политиками. Работает через HTTPS. IPv6 over HTTPS
Нужно наличие PKI.

Если нравится OVPN, то по скорости обе технологии с ним абсолютно сравнимы, так что разницы не заметите.

Пользователи Linux и Mac не очень сюда вписываются, но можно их завести по SSTP. DirectAccess и VPN могут на сервере вместе существовать.

Другой вариант - Терминальный Сервер + VPN. Пользователи удаленно подключаются по VPN, а дальше RDP на TS. RDP клиенты есть практически под любую ОС.

В общем везде свои нюансы: требования на доступность данных, время простоя, безопасность. Например, стоит ли человеку с доменным компом и с не шифрованным диском шататься где угодно или все же VPN и RDP будет правильным решением. Или, если шифровать, то что делать когда он его в "кирпич" превратит. Как раздавать на Linux и Mac настройки - виндовую GP на них не натянуть. А если они могут без домена, тогда остальных зачем в домен заводить?