회사에는 사무실이 없습니다. 모든 사용자는 원격입니다.
그러나 워크스테이션을 연결하고 사용자를 중앙에서 관리할 수 있는 Active Directory가 필요합니다.
한 가지 제안은 클라우드(AWS, Azure, Rackspace 등)에서 서버를 구입하고 여기에 Active Directory를 배포한 다음 워크스테이션을 이 Active Directory에 연결하는 것입니다.
이 설정을 사용하면최종 사용자의 워크스테이션에서 클라우드의 서버 인스턴스까지 VPN을 사용하지 않으면 어떤 의미가 있습니까? VPN 없이 이 작업을 수행한 사람이 있나요?
답변1
AD DC 서버를 인터넷으로부터 보호하고 싶을 것입니다. 직접 노출하는 것은 모범 사례가 아닙니다. VPN은 이를 방지하는 데 도움이 됩니다. 내장된 Windows VPN 서비스를 사용할 수 있습니다. 비록 그다지 훌륭하지는 않지만 적어도 아무것도 없는 것보다는 나은 것을 제공할 것입니다. 다음은 Active Directory에 대한 MS 모범 사례 가이드 링크입니다.Active Directory 보안 모범 사례계속 진행하기 전에 검토해 보는 것이 좋습니다. 78페이지에서는 단순히 도메인 컨트롤러에서 Internet Explorer를 사용하는 것에 대해 실패한 모범 사례로 약간 검토합니다. 이것만으로도 Active Directory 서비스를 인터넷에 노출하는 것이 좋지 않다는 것을 알 수 있습니다.
답변2
귀하의 특정 질문에 대한 의미는 무엇입니까? 기본 구성의 도메인 컨트롤러는 공용 네트워크에 대해 강화되지 않습니다. 예를 들어 기본적으로 암호를 가로챌 수 있는 일반 텍스트 LDAP 바인딩을 허용합니다. 이 문서에서는 LDAP 단순 바인딩을 비활성화하는 프로세스를 설명합니다.https://support.microsoft.com/en-us/kb/935834
컴퓨터/사용자 관리 관점에서 달성하려는 목표에 따라 다음 기술을 조사해야 합니다.
Microsoft Intune은 Configuration Manager를 사용하여 Mac/Linux를 포함하여 도메인에 가입되지 않은 컴퓨터에 대한 관리를 제공할 수 있습니다.
Windows Azure Active Directory를 사용하면 사용자 계정을 중앙에서 생성 및 관리하고 Office 365를 포함한 다양한 응용 프로그램에 ADFS 인증 인터페이스를 제공할 수 있습니다.
DirectAccess를 사용하면 인증 전에 클라우드 호스팅 네트워크에 VPN 터널을 구축하여 인터넷에 직접 연결된 동안 도메인 가입 환경을 사용할 수 있습니다.
Workplace Join은 ADFS 서비스를 통해 장치를 도메인에 "가입"할 수 있는 ADFS 기능입니다.
Windows Azure는 인터넷을 통해 SMB 공유를 제공할 수 있습니다. 그러나 파일 공유는 레거시 기술입니다. 가능하면 Sharepoint Online/OneDrive를 사용하세요.
정책은 Windows Intune을 사용하여 수행할 수 있습니다. 기존 그룹 정책 구성은 사용할 수 없지만 환경을 잠그려는 경우가 아니면 일반적으로 필요하지 않습니다.
Windows 2012에서는 인터넷 인쇄를 설정할 수 있습니다.https://technet.microsoft.com/en-us/library/jj134159.aspx- 하지만 어딘가에 서버가 필요할 것입니다. 클라우드 서비스는 의심할 여지 없이 존재합니다.
행운을 빌어요
셰인
답변3
기존 AD DS에서는 이 작업을 수행하지 마세요. 클라우드 전용으로 전환해야 하는 경우 관리용 Intune과 데스크톱용 Windows 10이 포함된 Azure Active Directory SaaS 솔루션을 사용해야 합니다. Kerberos, GPO 등과 같은 항목은 손실되지만 상당한 유연성을 얻게 되며 관리할 인프라가 없습니다.
앞서 말했듯이 이것은 AAD와 AD DS 간의 기능을 1:1로 비교하는 것이 아니므로 좀 더 조사하여 그것이 잘 맞는지 확인하십시오. 그러나 보안을 완전히 무시하지 않는 한 이것이 귀하의 질문에 대한 유일한 그럴듯한 해결책입니다. 실천하고 공용 인터넷에 DC를 배치합니다.