將外部伺服器添加到本地域

我們有一個 Windows 2008 Active Directory 設置，以便我們在多台機器上使用相同的密碼等。

現在我們有一個伺服器（Win 2008 R2）位於異地，因此也在我們的防火牆之外，我們希望將機器連接到域。

我認為某種 VPN 連接可以讓我們將外部伺服器加入我們的域。

1. 為此，您會推薦哪種類型的 VPN（PPTP、IPSec、..）（單伺服器）？
2. 還是有另一種更有意義的可能性？

如果您無法在 LAN 和遠端站點之間建立直接連結，那麼 VPN 是您的最佳選擇。您基本上可以通過兩種方式進行設置：

• 讓伺服器建立它。
• 使用站點到站點 VPN。

在第一種情況下，您的伺服器將使用其 RRAS 服務建立 VPN；它將是唯一能夠與您的網路通信的電腦。您應該使用 RRAS 而不是標準的使用者空間 VPN 連接，否則需要使用者登錄並啟動連接才能正常工作；RRAS 將自動處理。

在第二種情況下，您將在遠端站點有一個路由器/防火牆與您的網路建立 VPN 連接；這將使多台電腦同時與它通信，並且通常首選它，因為它比單個系統更可靠、更易於管理和更安全。

在這兩種情況下，您的主網路中都需要一個 VPN 伺服器；這可以是路由器、防火牆、執行 RRAS 或 ISA/TMG 的 Windows 伺服器……幾乎任何你想要的東西；如果它支持 VPN 連接，它也可能是您目前的防火牆。

L2TP/IPSec VPN 通常比 PPTP 更安全可靠。

引用自：https://serverfault.com/questions/167297