Подключение к Active Directiry через интернет канал

[vv5]

Здраствуйте всем, хотел посоветоваться. Такая ситуация, на удаленом хосте на ESX крутится win server 2003 там подняты службы каталогов и днс. Сервер имеет статический айпишник, для него зарегено ДНС имя. Пингуется нормально и по айпишнеку и по ДНС. Задача использовать этот домен в разных концах России, тоесть нужно удалено добавлять компы в этот АД.
Отключил брандмауэры, подключаюсь к домену вылезает окошко для ввода имени и пароля, воожу, какое то время думает и потом пишет не найден сетевой путь!
Сетевые настройки сервака прописаны статикой, айпишник рабочей станции которую хочу добавить автоматический от местного DHCP а ДНС адрес айпишнек удаленого АД.
Хотел узнать вообще реально подключиться к AD через интернет? И в чем может быть проблемма в данной ситуации?

[goby]

Проблема в непонимании структуры таких сетей.
1. В филиале ставится свой домен. Например office1.domain.com Строится лес. Домен domain.com крутится на главном сервере.
2. между филиалом и центральным офисом строится тунель
3. связь между офисами делается ТОЛЬКО через тунель.

[vv5]

Я покопался в сетевых настройках, оказывается там была убрана галочка служба доступа к файлам и принтерам
После того как я ее поставил, компьютер добавился в домен, без настройки тунеля. Сейчас пока тестирую поднятый сервак, перемещаемые профили.
Спасибо за совет!

[goby]

Очень опасно в инет открывать порты 135, 445 и 139
Червяки будут рады =)

[vv5]

А тонель придется аоднимать получается на каждой машинке которая будет коннектится в домен? И через тонель будут групповые политики передоваться?

[goby]

на каждой машинке

Речь идет о подключении офиса или одиночного удаленного компа? Если офиса, то на шлюзе офиса поднимаем туннель между сетями.
Если компа, то на каждой. Вообще, сомнительно выглядит решение подключать одиночные удаленные компы к домену через инет. Если не секрет, для чего это надо? Какое ТЗ?

И через тоннель будут групповые политики передоваться?

Зависит от настроек

[vv5]

У нас офис 10 компов, работают операторы терминально на серверах которые расположен на хостинге, 2 канала интернета(оснвоной и резервный). Планируется расширение организации с филлиалами в разных городах, которые так же терминально будут работать на сервере.
Планируется установить и настроить AD на хостинге (установил и добавил в нее компы) чтобы была единая база пользователей, с настроенными перемещаемыми профилями.
Требуется это для того чтобы в случае форсмажора (например вырубают свет на день) все операторы переезжают в другой офис, в котором есть интернет, вводят свои учетные данные загружаются профиля и они продолжают свою работу. Тут важна очень высокая отказоустойчивость, а так же чтобы из любой точки мира можно было мониторить и администрировать сервак, и в случае чего оперативно принять меры.

[goby]

работают операторы терминально на серверах которые расположен на хостинге

Это значит, что на сервере терминалов сохраняются профили всех терминальных пользователей и единая база пользователей которая хранится на сервере терминалов.
Собственно говоря, то что и требуется

все операторы переезжают в другой офис, в котором есть интернет, вводят свои учетные данные загружаются профиля и они продолжают свою работу

Перемещаемые профили и введение компов в домен тут совершенно не надо. Локальными политиками безопасности сервера терминалов все разруливается.
Единственно, чтобы я сделал, это
1. закрыть на сервере терминалов все порты кроме порта VPN(подключение по VPN - дело пары минут)
2. Разрешить из канала доступ к серверу только по RDP

Если же потребуется создавать ферму терминальных серверов, тогда можно уже будет подумать и о AD

[vv5]

А кстати да! Начал немного не через то место=)
AD можно оставить, пусть база пользователей будет, а рабочее место надо сделать на сервере терминалов, буду копать настройки терминального сервера.
От него будет требоваться, чтобы у каждого пользователя на столе было нужное количество ярлыков, и чтобы юзер мог запустить только нужные программы!