Das Unternehmen verfügt über keine Niederlassungen. Alle Benutzer arbeiten remote.
Allerdings benötigen sie dazu ein Active Directory, an das sich Arbeitsstationen anbinden und Benutzer zentral verwalten lassen.
Ein Vorschlag besteht darin, einen Server in der Cloud (AWS, Azure, Rackspace usw.) zu kaufen, Active Directory darauf bereitzustellen und dann die Arbeitsstationen mit diesem Active Directory zu verbinden.
Mit diesem Setupwelche Folgen hat es, wenn von der Arbeitsstation des Endbenutzers zur Serverinstanz in der Cloud kein VPN verwendet wird? Hat das schon mal jemand ohne VPN gemacht?
Antwort1
Sie möchten Ihre AD DC-Server vor dem Internet schützen. Sie direkt zugänglich zu machen, ist nicht die beste Vorgehensweise. Das VPN soll helfen, dies zu verhindern. Sie können die integrierten Windows-VPN-Dienste verwenden, die zwar nicht so toll sind, Ihnen aber immerhin etwas Besseres als nichts bieten. Hier ist ein Link zu einem MS-Best-Practices-Leitfaden für Active Directory.Bewährte Methoden zur Sicherung von Active DirectoryVielleicht möchten Sie es noch einmal lesen, bevor Sie fortfahren. Auf Seite 78 wird kurz darauf eingegangen, dass die einfache Verwendung von Internet Explorer auf einem Domänencontroller nicht die beste Vorgehensweise ist. Das allein sollte Ihnen einen Hinweis darauf geben, dass es keine gute Idee ist, Active Directory-Dienste im Internet verfügbar zu machen.
Antwort2
Zu Ihrer konkreten Frage: Was sind die Auswirkungen? Domänencontroller in einer Standardkonfiguration sind nicht für ein öffentliches Netzwerk geschützt. Beispielsweise erlauben sie standardmäßig Klartext-LDAP-Bindungen, wodurch Ihre Passwörter abgefangen werden könnten. Dieser Artikel beschreibt den Vorgang zum Deaktivieren einfacher LDAP-Bindungen.https://support.microsoft.com/en-us/kb/935834
Je nachdem, was Sie aus der Perspektive der Maschinen-/Benutzerverwaltung erreichen möchten, sollten Sie die folgenden Technologien untersuchen
Microsoft Intune kann die Verwaltung von nicht zur Domäne gehörenden Computern, einschließlich Mac/Linux, mithilfe des Configuration Managers ermöglichen.
Mit Windows Azure Active Directory können Sie Benutzerkonten zentral erstellen und verwalten und eine ADFS-Authentifizierungsschnittstelle für verschiedene Anwendungen, einschließlich Office 365, bereitstellen.
DirectAccess ermöglicht die Nutzung eines Domänenbeitritts bei direkter Verbindung mit dem Internet, indem vor der Authentifizierung ein VPN-Tunnel zu Ihrem in der Cloud gehosteten Netzwerk erstellt wird.
Workplace Join ist eine Funktion von ADFS, die es Ihnen ermöglicht, ein Gerät über den ADFS-Dienst Ihrer Domäne „beizutreten“.
Windows Azure kann SMB-Freigaben über das Internet bereitstellen. Dateifreigaben sind jedoch eine veraltete Technologie. Verwenden Sie nach Möglichkeit Sharepoint Online/OneDrive.
Richtlinien können (irgendwie) mit Windows Intune erstellt werden – Sie erhalten keine herkömmliche Gruppenrichtlinienkonfiguration, aber das brauchen Sie im Allgemeinen auch nicht, es sei denn, Sie möchten Ihre Umgebung sperren.
Internetdruck kann in Windows 2012 eingerichtet werdenhttps://technet.microsoft.com/en-us/library/jj134159.aspx- aber dafür bräuchte man irgendwo einen Server. Einen Cloud-Dienst gibt es zweifellos.
Viel Glück
Shane
Antwort3
Tun Sie dies nicht mit herkömmlichem AD DS. Wenn Sie nur auf die Cloud umsteigen müssen, sollten Sie die Azure Active Directory SaaS-Lösung mit Intune zur Verwaltung und Windows 10 auf dem Desktop verwenden. Sie verlieren Dinge wie Kerberos, GPO usw., gewinnen jedoch ein hohes Maß an Flexibilität und müssen keine Infrastruktur verwalten.
Wie gesagt handelt es sich hierbei nicht um einen 1:1-Vergleich der Funktionen von AAD und AD DS. Recherchieren Sie also ein wenig und stellen Sie sicher, dass es passt. Allerdings ist dies die einzige plausible Lösung für Ihre Frage, es sei denn, Sie ignorieren bewährte Sicherheitsmethoden völlig und platzieren einen DC im öffentlichen Internet.