Inquiridor
On-premise vs Azure - integração sem VPN: é possivel?

Pergunta
-
Olá pessoal
Estou com o seguinte cenário:
Temos o Active Directory on-premise e estamos configurando dois servidores no Azure.
Será necessário adicionar esses servidores a rede local no AD local.
Verifiquei que a implementação ideal seria por VPN Site-to-Site nesse caso.
Mas me fui questionado se não teria a possibilidade de efetuar a integração do AD apenas indo nas configurações de rede das VMs e liberando as portas do Active Directory e deixando essas portas acessíveis apenas pelo IP externo que temos no site On-premise.
Informei que não é indicado efetuar esse tipo de configuração, mas me levantaram a questão devido aos custos gerados no Azure.
Poderiam me ajudar informando se é possível efetuar tal configuração?
O custo de VPN site-to-site no Azure é muito alto?
Tem algum material que poderiam me indicar?
Atenciosamente
João Avila
Todas as Respostas
-
Boa tarde João,
Acredito que a melhor prática seria interligar o Azure com on-premises utilizando a VPN Site-to-Site, pois desta forma você mantém os servidores conectados a sua rede e de forma confiável.
Aqui neste artigo, você consegue verificar o passo a passo para configurar a VPN Site-to-Site da sua rede local com o Azure. Em relação aos custos é possível encontrá-los aqui e também fazer uma estimativa pela calculadora do Azure (https://azure.microsoft.com/pt-br/pricing/calculator/).
Fiz uma estimativa de preço, bem básica, só para você ter uma idéia
Caso esteja além do que pretendem investir, existem algumas outras opções conforme segue
- Entrar no dominio de forma offline
- Conectar a uma VPN através da máquina virtual e entrar no domínio
1. Faça logon no controlador de domínio com uma conta de usuário que possua os direitos apropriados para ingressar outros computadores no domínio.
2. Abra um prompt de comandos com privilégios elevados e use o comando djoin.exe com a opção /provision. Você também precisa especificar o domínio no qual deseja ingressar o computador, o nome do computador que será ingressado no domínio e o nome do arquivo de salvamento que será transferido para o destino do ingresso em domínio offline.
3. Transfira a arquivo de salvamento gerado para o novo computador e, em seguida, execute o comando djoin.exe com a opção /requestODJ. Por exemplo, para realizar o ingresso em domínio offline, após a transferência do arquivo de salvamento eujoin.txt ao computador eu, você deve executar o seguinte comando a partir de um prompt de comandos com privilégios elevados em eu:
djoin.exe /requestODJ /loadfile eujoin.txt /windowspath %systemroot% /localos
4. Reinicie o computador para concluir a operação de ingresso em domínio.Assumindo que você tenha uma VPN Client disponível para conectar na sua rede de qualquer local, conecte a VPN com a sua máquina virtual e entre no dominio
Em relação a sua ideia "liberando as portas do Active Directory e deixando essas portas acessíveis pelo IP externo" também seria uma opção, então considere abrir as seguintes portas
TCP 88 (Kerberos Key Distribution Center)
TCP 135 (Remote Procedure Call)
TCP 139 (NetBIOS Session Service)
TCP 389 (LDAP)
TCP 445 (SMB,Net Logon)
UDP 53 (DNS)
UDP 389 (LDAP, DC Locator, Net Logon)
TCP 49152-65535 (Randomly allocated high TCP ports)
UDP 123 (NTP)
TCP 53 (DNS)
TCP 464 ( Kerberos Password V5 – Used when user change their password from desktop)
UDP 137 (NetBIOS Name Resolution)
UDP 138 (NetBIOS Datagram Service)
TCP 636 (LDAP SSL)
UDP 636 (LDAP SSL)
TCP 3268 (Global Catalog)Fonte: https://www.aventistech.com/2020/02/firewall-ports-required-to-join-ad-domain/
Espero que ajude, qualquer coisa nos avise.
Atenciosamente,
Vinicius Deschamps
https://viniciusdeschamps.com.br/- Sugerido como Resposta Gabriel Luiz Cunha de Oliveira - Microsoft MVP terça-feira, 23 de junho de 2020 01:50
- Editado deschamps quarta-feira, 15 de julho de 2020 11:36
-