On-premise vs Azure - integração sem VPN: é possivel?

Question

Olá pessoal

Estou com o seguinte cenário:

Temos o Active Directory on-premise e estamos configurando dois servidores no Azure.

Será necessário adicionar esses servidores a rede local no AD local.

Verifiquei que a implementação ideal seria por VPN Site-to-Site nesse caso.

Mas me fui questionado se não teria a possibilidade de efetuar a integração do AD apenas indo nas configurações de rede das VMs e liberando as portas do Active Directory e deixando essas portas acessíveis apenas pelo IP externo que temos no site On-premise.

Informei que não é indicado efetuar esse tipo de configuração, mas me levantaram a questão devido aos custos gerados no Azure.

Poderiam me ajudar informando se é possível efetuar tal configuração?

O custo de VPN site-to-site no Azure é muito alto?

Tem algum material que poderiam me indicar?

Atenciosamente 

João Avila

Answer 1

Boa tarde João,

Acredito que a melhor prática seria interligar o Azure com on-premises utilizando a VPN Site-to-Site, pois desta forma você mantém os servidores conectados a sua rede e de forma confiável.

Aqui neste artigo, você consegue verificar o passo a passo para configurar a VPN Site-to-Site da sua rede local com o Azure. Em relação aos custos é possível encontrá-los aqui e também fazer uma estimativa pela calculadora do Azure (https://azure.microsoft.com/pt-br/pricing/calculator/).

Fiz uma estimativa de preço, bem básica, só para você ter uma idéia

Caso esteja além do que pretendem investir, existem algumas outras opções conforme segue

• Entrar no dominio de forma offline

1. Faça logon no controlador de domínio com uma conta de usuário que possua os direitos apropriados para ingressar outros computadores no domínio.

2. Abra um prompt de comandos com privilégios elevados e use o comando djoin.exe com a opção /provision. Você também precisa especificar o domínio no qual deseja ingressar o computador, o nome do computador que será ingressado no domínio e o nome do arquivo de salvamento que será transferido para o destino do ingresso em domínio offline.

3. Transfira a arquivo de salvamento gerado para o novo computador e, em seguida, execute o comando djoin.exe com a opção /requestODJ. Por exemplo, para realizar o ingresso em domínio offline, após a transferência do arquivo de salvamento eujoin.txt ao computador eu, você deve executar o seguinte comando a partir de um prompt de comandos com privilégios elevados em eu:

djoin.exe /requestODJ /loadfile eujoin.txt /windowspath %systemroot% /localos

4. Reinicie o computador para concluir a operação de ingresso em domínio. 

(fonte: https://www.impacta.com.br/blog/2014/05/22/como-ingressar-em-um-dominio-offline-no-windows-server-2012/)

• Conectar a uma VPN através da máquina virtual e entrar no domínio

Assumindo que você tenha uma VPN Client disponível para conectar na sua rede de qualquer local, conecte a VPN com a sua máquina virtual e entre no dominio

Em relação a sua ideia "liberando as portas do Active Directory e deixando essas portas acessíveis pelo IP externo" também seria uma opção, então considere abrir as seguintes portas

TCP 88 (Kerberos Key Distribution Center)
TCP 135 (Remote Procedure Call)
TCP 139 (NetBIOS Session Service)
TCP 389 (LDAP)
TCP 445 (SMB,Net Logon)
UDP 53 (DNS)
UDP 389 (LDAP, DC Locator, Net Logon)
TCP 49152-65535 (Randomly allocated high TCP ports)
UDP 123 (NTP)
TCP 53 (DNS)
TCP 464 ( Kerberos Password V5 – Used when user change their password from desktop)
UDP 137 (NetBIOS Name Resolution)
UDP 138 (NetBIOS Datagram Service)
TCP 636 (LDAP SSL)
UDP 636 (LDAP SSL)
TCP 3268 (Global Catalog)

Fonte: https://www.aventistech.com/2020/02/firewall-ports-required-to-join-ad-domain/

Espero que ajude, qualquer coisa nos avise.

Atenciosamente,
Vinicius Deschamps
https://viniciusdeschamps.com.br/

Answer 2

Boa noite.

No dia 2 de Julho vou esta liberando um material falando sobre VPN Site to Site.

Acesse: gabrielluiz.com

---

Att. Gabriel Luiz - Conhecimento só é valido quando compartilhado! - www.gabrielluiz.com