none
請教SERVER 2012 的AD部屬及VPN、DNS、DHCP,directaccess應用已比vpn優勢了嗎? RRS feed

  • 問題

  • 各位前輩,小弟有事要請教

    小弟目前幫公司建置的網路環境不是很強大,小弟很愛用網方功能,但是總覺得太陽春了,

    因老闆說他要加強資安部分及E化公司減少紙本作業,

    小弟就定了幾個項目目標

    小弟目前要規畫的就是

    小弟公司有10個據點加上總部有11個,小弟想架設VPN伺服器讓我的主要Server都只用內網IP,避免真實IP暴露在外面(觀念應該正確吧?)

    小弟最近在研究AD這個功能,用意在於,因公司電腦很多人都會自帶隨身碟來聽歌,誕歌曲來源幾乎都是帶病毒的,及user端很愛自行亂下載東西安裝

    小弟想用AD去控管(包括總部外的PC)利用VPN加上AD可以辦到嗎?AD可以讓我網域內的PC都使用相同的遠端虛擬桌面嗎?

    目前小弟已經部屬完以上這些了,但是還是很多地方很奇怪

    例如AD的設定到底會不會跟防火牆和IP分享器衝突呀?

    小弟目前是這樣

    假設我只有用IP分享器去做這些環境的話

    ip分享器IP為172.16.1.254     DHCP範圍為2~253

    我ad網卡設定為172.16.1.199    255.255.255.0    DNS:172.16.1.199 這樣對嗎?

    vpn SERVER 有兩張網卡 外網(真實ip)為 30.30.30.1  255.255.255.0  30.30.30.254 (ip為假設)

    內網為172.16.1.198   255.255.255.0    沒設閘道   dns:172.16.1.199

    目前vpn連線可以成功,可是連完vpn後就無法上網

    目前我不知道dhcp及dns  server 應該裝在哪一台上面,目前我AD和VPN是分別為兩台SERVER 因為我怕有安全問題,這樣裝可嗎,還是要在同一台上

    反正目前我只要連線VPN就無法上網,是我哪裡設錯嗎?

    我現在一直搞不清楚,倘若我DNS 和 DHCP SERVER 設下去後,是以SERVER端的設定為主,還是以我ip分享器出來的為主呀

    請問我想要把外單外的用vpn連線回來,也讓他們成為網域的一員可行嗎?

    請問有相關影片的設定嗎?或文章

    目前就真的卡在我的設定到底以誰為主?

    我目前架設出來的都是參考曹祖聖 老師的 YOUTUBE影片


    • 已編輯 hahahitmepls 2013年12月30日 上午 06:34
    • 已編輯 AChangeModerator 2013年12月30日 上午 08:35 編輯適當標題, 原標題: 小弟我是IT新血,任職於某間私人連鎖企業,想請教SERVER 2012 的AD部屬及VPN、DNS、DHCP,directaccess應用已比vpn優勢了嗎?
    • 已移動 AChangeModerator 2013年12月30日 上午 08:35
    2013年12月30日 上午 06:32

解答

  • 你要用 Windows Server 的 DHCP 就把 IP 分享器的 DHCP 指向到 Windows Server ,並停用 IP 分享器派發。

    我個人偏向硬體來組件,你虛擬環境建好測試沒問題後,把硬體設好目標子公司的 PPPoE 帳密後,就可以寄過去,直接上,以後有問題只要重開機就成。

    用軟體管,維護上會很操...


    不精確的問法,就會得到隨便猜的答案;自己都不肯花時間好好描述問題,又何必期望網友會認真回答?

    2013年12月30日 下午 01:36
  • Hi hahahitmepls

    建議你假如有要將此方式套用再正式的環境上

    因該不要增加環境的不安定因素,例如 軟體來架設VPN SERVER 

    另外假如真的要規劃的話還是建議請SI來幫你規劃,會比較完善

    2013年12月31日 上午 07:36
    版主

所有回覆

  • 你要用 Windows Server 的 DHCP 就把 IP 分享器的 DHCP 指向到 Windows Server ,並停用 IP 分享器派發。

    我個人偏向硬體來組件,你虛擬環境建好測試沒問題後,把硬體設好目標子公司的 PPPoE 帳密後,就可以寄過去,直接上,以後有問題只要重開機就成。

    用軟體管,維護上會很操...


    不精確的問法,就會得到隨便猜的答案;自己都不肯花時間好好描述問題,又何必期望網友會認真回答?

    2013年12月30日 下午 01:36
  • Hi hahahitmepls

    建議你假如有要將此方式套用再正式的環境上

    因該不要增加環境的不安定因素,例如 軟體來架設VPN SERVER 

    另外假如真的要規劃的話還是建議請SI來幫你規劃,會比較完善

    2013年12月31日 上午 07:36
    版主
  • 因為擔心資安問題分兩台做服務是非常正確的選擇,
    但 AD 功能及架構不會去影響 VPN,
    你現在的狀況只是很單純的 VPN 撥入後,
    路由及閘道的問題導致連線不正常。

    以你目前的環境及架構描述,
    VPN 主機用單網卡也是可以建立起 VPN 而且能正常對內外,
    只是我很難在論壇完整說明建立的方式,
    有幾個重點提示一下
    1. VPN 主機在建立 RRAS 時手動選擇新增 VPN 及路由功能
    2. 正確設定路由
    3. 分享器或外部防火牆要設定外部對應 VPN 服務的埠號到 VPN 主機上
    4. DHCP 用 DC 主機提供或分享器都可以,但建議只選擇一個做服務統一管理,避免設定錯誤造成混亂
    5. DHCP 發送的資訊必須包含IP、DNS及正確的閘道器(已本例來說就是你的分享器IP)

    另外,如果外點的使用者不是持續與內部連線,
    必須透過手動的 VPN 才能使用內部資源及網域資源的話,
    不建議將使用者電腦加入網域,很容易造成脫離管理或其他問題。

    不過不管怎樣,還是會比較建議找 SI 幫你們做評估及建置比較好。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2013年12月31日 上午 07:58
    版主