最近拡張したブランチ サイトに新しい DC をインストールする予定です。相対的な IP リンク コストと関連パラメーターを使用して、Active Directory サイトとサービスに新しいサイトを作成するのがベスト プラクティスであることはわかっています。
ただし、本社とこの支社はどちらも強力なインターネット接続 (100 Mb/s ファイバー) を備えているため、両方を 1 つのサイトに残しておく方がよいのではないかと思います (つまり、サイト内ポリシーに従ってレプリケーションの待ち時間が非常に短くなる)。
いくつかのよく知られたリソースでは、10 Mb/s を超えるものはすべて単一のサイトとして扱う必要があると書かれていますが、他のリソースでは各物理サイトを AD サイトにマッピングすることを勧めています。
確立されたベストプラクティスは何ですか?
答え1
これらのサイト間に ISP があることを考慮すると、次の 2 つの理由から、新しいブランチ専用の AD サイトを作成します。
- サブネットごとにユーザー認証を分離します。何らかの理由でこれらのサイト間の接続が失敗しても、それほど影響はありません。
- 組織 - 会社が急成長し、Active Directory が会社の物理的な構造を反映している場合は、組織が非常に役立ちます。信じてください。組織化されていない AD では、メンテナンスやトラブルシューティングが困難になります。
答え2
コストを気にせずクラウド移行を希望するクライアントのために、「フル クラウド」移行を完了しました。これには AD も含まれており、これを FoxPass に移行しました。問題のクライアントは 3 つのサイトすべてで 100 MB のリンクを使用していましたが、以前は各サイトで 1 つの AD サーバーを使用していました。会社全体では、約 75 人のアクティブ ユーザーがいます。
RADIUS over RadSec と LDAPS を備えた FoxPass システムは、すべてのクラウド リソースの ID システム、ワークステーション、サイトごとのファイアウォールを結び付けます。これらのものがオンプレミスではなくなったことはほとんど目立たず、AD は事実上排除されています。欠点は、かなり高価なことです。広範囲のユース ケースでオンプレミス AD と同等の機能を実際に提供する安価な IDaaS 製品は見つかりませんでした。
ただし、要件によっては、アイデンティティ サービスを単一のローカル ホスト サイトに分離するだけでは堅牢性が不十分になる可能性があります。すでに大規模な HA クラウド ソリューションを採用しなくても、サイトごとに少なくとも 1 つの AD サーバーを導入するのが最善策だと思います。