Azure仮想ネットワーク内のMSAzureにWindowsドメインコントローラーをセットアップすることを検討しています。目標は、GPとユーザーを一元管理できるようにすることです。
クライアントコンピューターは認証を行う前に基本的にVPN上にある必要があるため、これは実現可能ですか?
私たちのオフィスへのサイト間VPN接続を設定できると思いますが、ほとんどの場合モバイルである遊牧民のユーザーがいます。
Azureでドメインコントローラーを実行することは間違いなく実行可能であり、サポートされています。それが最良の選択肢であるかどうかについては、何を達成しようとしているのかによって異なります。主にクライアントPCポリシーの管理と認証の提供を検討している場合は、通常、サービスを提供するマシンの近くにDCが必要です。ほとんどのユーザーがオフィスにいて、インフラストラクチャがある場合そこでは、DCを近くのオフィスに置いておくことをお勧めします。別のDCをAzureに配置する主な理由は、アプリケーションにサービスを提供することです。 AD認証またはディレクトリアクセスを必要とするAzureVMも配置していること。
オンプレミスインフラストラクチャから離れようとしていて、従来のグループポリシーとID管理が必要な場合は、AzureのDCを使用して、前述のようにVPN経由でアクセスを提供できます。ネットワークをAzureに拡張するためのサイト間オプションがあります。または、新しいポイントツーサイトVPN機能を確認することもできます。これにより、各クライアントにインストールされているエージェントを使用して、Azureに直接VPNアクセスできます。これは、小規模なユーザーベースでうまく機能する可能性があります。
https://Azure.Microsoft.com/documentation/articles/vpn-gateway-point-to-site-create/
Windowsは資格情報をキャッシュすることも忘れないでください。VPNを介してユーザーを一度認証する限り、その後ログインするためにユーザーを実行する必要はありません。もちろん、最新のポリシーを適用するには、定期的にログインする必要があります。最新のポリシーは、ログオンスクリプトなどによって実施または推奨される場合があります。
お役に立てば幸いです。
これに対する古典的な解決策は、ユーザーがログインしなくてもコンピューターが使用できるVPNをセットアップすることです。使用されるメカニズムは、誰かがインターネット接続をダイヤルしてドメインに接続する可能性があった古代のメカニズムと似ています。クライアントプログラムをロードせずにネットワーク接続APIを介して実際に開始できるようにVPN接続を定義する必要があるため、これを設定するのはやや面倒な場合があります(基本的に、PPPを展開する必要があります)。
これを行うための新しくておそらく簡単な方法は、Microsoftがこの正確な使用例のためにリリースしたDirectAccessを使用することです。 詳細なガイドはこちらから入手できます 。これは基本的にVPNソリューションです。
コンピューター層でSSL-VPNクライアントとして機能するDirectAccessを調べます。ただし、AzureはTCPのみであるため、AzureでDirectAccessサーバーを実行できるとは思いません。
ただし、要点は次のとおりです。データセンター外のコンピューターを管理できるようにする必要がある場合は、AzureにDCを配置するのは悪いことです。 DC Azureのレプリカですが、これらはセカンダリサイトの復元力と、それに対するAD認証に対するクラウドベースのワークロードを持つ機能のために展開されます。
もちろん、ユーザーをクラウドベースのDCにVPN接続することもできます。しかし、なぜ彼らはそうするのでしょうか?私が知っているユーザーは、自分のコンピューターが管理されていることを確認することに特に関心がありません。
そう。これらすべてに対するMicrosoftのソリューションは、DirectAccessです。それはあなたにぴったりではないかもしれませんが、読む価値があります。