チャブーンです。
ドメインコントローラが無い拠点からドメインに参加する場合、
VPN接続以外で考えると、新規にドメインコントローラを設置するといった形をとった方がいいのでしょうか?
ドメインコントローラを設置しない方法などはないでしょうか?
ドメインコントローラーに、最低限アクセスが必要な状況は。以下の2つです。
- ドメインに参加する際の操作
この操作は「オフラインドメイン参加」という機能で、クライアントは直接接続しないで作業を行うことは可能です。代わりに管理者がサーバー・クライアント双方で作業の必要があります。 - 初めてドメインユーザーでサインインする操作
初めてドメインアカウントでサインインする場合、アカウント資格情報をドメインコントローラーから得る必要があり、Windowsのみの仕様ではコレは避けられません。
というわけですので、何らかのかたちでドメインコントローラーとの通信が必要になります。ドメインコントローラーを新規に設置する、という場合も、既存のドメインコントローラーと常時通信が可能で「Active Directory複製」を行わせないとダメですので、ただ新しく作ればよい、といったたぐいではありません。
何が何でも外部からドメイン参加、という建て付けで唯一可能な方法は、社内ネットワーク側で「Direct Access」サーバーを構成し、透過的なSite to Point VPNを構成することです。クライアントに「オフラインドメイン参加」を事前に行っておけば、「初めてのドメインユーザーのサインイン」を透過的に行うことは可能です。ただし、この方法はWindowsクライアントが「Enterprise」エディションという法人向けOSである必要があり、初めての方には、それなりに敷居が高いです。
そう考えると、Hebikuzureさんからコメントいただいている「サイト間VPN」(外部ルーターによるVPN構成)が最善であり、それ以外は難しいという結論となるでしょう。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。
