[W2012R2] branch office applicatie server, ook voor logon

Op dit moment heb ik een hardwarematige VPN waarover 6 gebruikers kunnen inloggen op een DC vanuit een loods. De DC staat lokaal in de serverruimte op kantoor. De loods is dus een soort branche office. Na inloggen maken zij over de VPN verbinding met een Terminal Server voor het uitvoeren van werkzaamheden.

Nu wil ik een server gaan plaatsen in de loods met 2 VM's voor de client/server infrastructuur van een nieuwe applicatie. Omdat de nieuwe applicatie bedrijfskritisch is, wil ik niet meer afhankelijk zijn van de VPN. De VPN moet wel weer gebruikt kunnen worden op de nieuwe applicatieserver te benaderen via VPN.

De gebruikers moeten dus zonder VPN kunnen inloggen en werken met de applicatie.
Wat is de beste manier om te zorgen dat de clients ook kunnen aanmelden in de loods, zonder dat de applicatie server een DC hoeft te zijn? Ook de server moet te alle tijden kunnen opstarten/inloggen zonder dat de VPN beschikbaar is.

Er zijn volgens mij meerdere manieren voor de clients zoals cache credentials, local account, RODC enz. Welke is het beste, ook voor de server?

Killah_Priest schreef op woensdag 29 maart 2017 @ 09:28:
Remote Desktop Gateway rol installeren, dit is een reverse proxy voor je RDP hosts.

Bedankt voor je reactie.

Extra info. Het gaat dus om de lokale server/client infrastructuur die volledig in de loods aanwezig is. Nu wordt gewerkt via de Terminal Server over VPN, maar voor de client/server infrastructuur van de nieuwe applicatie is de terminal server niet van toepassing. De clientapplicatie wordt lokaal op de pc's geïnstalleerd.

Werkt het misschien ook wanneer we voor de server/client infrastructuur gebruik gaan maken van lokale accounts? Geeft dit misschien problemen met clients die wel aangemeld zijn bij een DC over VPN en gebruik willen maken van de applicatie?

Kunnen de credentials niet via cash worden opgeslagen op de clients en server?

Question Mark schreef op woensdag 29 maart 2017 @ 11:11:
Welke opties heb je zelf al onderzocht, en wat is je eigen mening over deze oplossingen?

Je bent nu een beetje een probleem aan het dumpen, en vraagt ons om een oplossing. Da's niet helemaal hoe het werkt.

Vergeet verder niet dat er meer zaken uit kunnen vallen dan enkel een verbinding bij een bedrijfskritische applicatie...

Het is niet de bedoeling om over te komen alsof ik voor een oplossing dump.
Misschien te snel gepost door tijdsdruk. Ook heb ik geen server beschikbaar om te testen.

Bij het testen met een client krijg ik onderstaande te zien, wanneer ik inlog. Misschien is dit eenvoudig op te lossen door een lokaal account te gebruiken.
The system cannot log you on now because the domain <DOMAIN_NAME> is not available.

Ik heb gekeken naar een RODC. Nadeel is dat dit een extra VM kost.
Cash credentials op een Windows 2012 R2 member server blijken wel te werken.

Ik probeer vooral extra ideëen op te doen om de nieuwe server/client op zich zelf te kunnen draaien zonder VPN verbinding.

Linke Loe schreef op woensdag 29 maart 2017 @ 12:06:
Je komt in mijn ogen niet onder die VPN verbinding uit. Ook als je een DC gaat installeren in die loods, zal hij op een of andere manier moeten kunnen repliceren met de DC op kantoor. Wat is de reden dat je per se die VPN verbinding weg wilt hebben?

Je schrijft dat er een server wordt geplaatst met 2 VM's. Welke rollen krijgen deze VM's en wat is er op tegen (behalve wellicht licentiekosten) om er een derde VM als domain controller naast te zetten? Hoe bedrijfskritisch is die applicatie als hij op één enkele fysieke server gaat draaien? Waarom kunnen die 6 gebruikers niet gewoon in blijven loggen op het domein zoals ze nu doen, terwijl ze die applicatie lokaal gaan gebruiken en de rest via remote desktop?

Kortom: ik zie het probleem niet zo...

Dit zet mij goed aan het denken. Bedankt.

De applicatie wordt s nachts gebruikt. De vpn connectie is niet stabiel genoeg om op te vertrouwen voor een bedrijfskritische applicatie. Maandelijks is er wel een storing door bijvoorbeeld bouw werkzaamheden of onderhoud door de internetprovider aan 1 van de 2 kanten van de VPN.

Een DC zal inderdaad wel een oplossing kunnen zijn. Wanneer de verbinding weer beschikbaar wordt deze weer gerepliceerd. Wanneer ik echter een domaincontroller kan voorkomen is het wenselijk.

Voor de mensen die werken op de terminal server kunnen we dit inderdaad zo laten. Voor de nieuwe clients kan ik misschien een lokale inlog gebruiken. Zij hoeven geen gebruik te maken van de Terminal server, maar alleen van de applicatie.

Hoe ik het nu zie. Member server plaatsen voor de VM's. Alles in domein en testen of de username/passwords ook gecached worden. Nieuwe gebruikers lokaal laten inloggen.
DNS en DHCP wordt geregeld via de router.

Het staat overigens op 1 server omdat de VM's via backups snel op een andere reserve server kunnen worden geplaatst.