Jer*_*emy 2 active-directory ldap
我需要将计算机加入我们的 Active Directory 域。这些计算机位于不受信任的网络上。
如何强制客户端计算机使用安全协议(LDAPS 而不是 LDAP)加入域?
我同意其他海报说您需要网络层解决方案,但我不同意使用 VPN 客户端的建议。这增加了复杂性,如果您要在不受信任的网络上寻找客户端以在启动期间应用组策略,则 VPN 客户端可能无法实现。
在不受信任的网络上操作客户端时,域加入(和身份验证)将是我最不关心的问题。我更关心到你的文件服务器、应用程序服务器等的纯文本流量。在我看来,网络层加密和身份验证是有序的。
IPSEC 正是您在这里寻找的。在需要与不受信任客户端所在子网进行 IPSEC 通信的域控制器计算机上部署 IPSEC 策略(理想情况下,还应用于客户端将与之通信的成员服务器计算机)是第一步。
第二步是使用AuthIP 协议将客户端安全地加入域。AuthIP 允许客户端在域加入过程中与域控制器建立 IPSEC 连接。不幸的是,Microsoft 对 AuthIP 的记录相当糟糕。自 Windows Vista 起,它就出现在 Windows Server 和客户端产品中。
另一种选择可能是DirectAccess VPN(它“透明地”工作并且不需要执行客户端程序)以及离线域加入,以将客户端引导到域中并使用 DirectAccess 获取它们。DirectAccess 是基于 IPSEC 的(IPv6 通过不受信任的 IPv4 或 IPv6 网络隧道连接到受信任的 LAN),因此您也可以使用此方法获得网络层加密和身份验证。
| 归档时间: |
|
| 查看次数: |
3427 次 |
| 最近记录: |