メイン サイトには 2008 R2 Active Directory サーバーがあります。最近、小さなセカンダリ サイトを開設しました。質問は非常にシンプルです。2 つのサイトは VPN で接続されていますが、セカンダリ サイトにセカンダリ AD サーバーをインストールすることは必須ですか、それとも 2 つのサイトでメイン AD を使用できますか?
答え1
理論的には、両方のサイトに DC を設置する必要はありません。
セカンダリ サイトに DNS サーバーがあり (またはクライアントがプライマリ サイトの DNS サーバーを指している)、プライマリ サイトのドメイン コントローラーの SRV レコードがあり、すべてのクライアントがドメイン コントローラーにアクセスできる場合は、別の場所に設置する必要はありません。
しかし、VPN サービスがダウンする可能性があり、特にセカンダリ サイトに DNS サーバーがない場合には、セカンダリ サイトのクライアントの速度に問題があるため、DNS サーバーを用意することをお勧めします。
Active Directory クライアント (コンピューターまたはユーザー) がドメインまたは何らかのドメイン サービスにログオンしようとすると、システム (NIC カード設定) にリストされている DNS サーバーにドメイン コントローラーのアドレス (これらは通常のホスト A レコードではない srv レコード) を問い合わせてドメイン コントローラーを検索します。そのため、セカンダリ サイトのすべてのクライアントは、それらのレコードを持つ NIC カードに DNS サーバーが設定されている必要があります。つまり、VPN がダウンし、すべてのクライアントがプライマリ ロケーションで DNS を参照している場合、すべてのクライアントの DNS 解決がダウンします (インターネットの閲覧などができなくなります)。そのため、セカンダリ サイトに少なくとも 1 台の Active Directory 対応 DNS サーバーを用意することが推奨されます。
答え2
100% 必要というわけではなく、回避策もあります。ただし、DHCP があると非常に便利です。DNS、認証、ログイン時間 (グループ ポリシーの適用)、ワークステーションのタイム サービスなどの問題を回避するのに役立ちます。サイトの DHCP をどのように処理しますか?
AD のセキュリティが懸念される場合は、読み取り専用 DC をインストールできます。
VPN リンクがダウンしていて、オンサイトに AD サーバーがない場合、さまざまな認証の問題が発生し、ログイン時間が大幅に長くなります。AD DNS のセカンダリとして設定されたローカル DNS サーバー (およびレコードをキャッシュする) を使用することもできますが、これでは問題の 1 つしか回避できません。