wir haben einen 2008 R2 Active Directory-Server auf unserer Hauptsite. Vor Kurzem haben wir eine kleine sekundäre Site eröffnet. Meine Frage ist ganz einfach: Unsere beiden Sites sind über ein VPN verbunden. Müssen wir auf unserer sekundären Site zwingend einen sekundären AD-Server installieren oder können wir unser Haupt-AD auf beiden Sites verwenden?
Antwort1
Theoretisch nein, Sie müssen nicht auf beiden Sites DC haben.
Wenn Sie am sekundären Standort über einen DNS-Server verfügen (oder Ihre Clients auf den DNS-Server am primären Standort verweisen) mit den SRV-Einträgen für Ihren Domänencontroller am primären Standort und alle Ihre Clients auf die Domänencontroller zugreifen können, benötigen Sie vor Ort keinen weiteren.
Aber es ist empfehlenswert, dass Sie es verwenden, weil der VPN-Dienst ausfallen kann und die Geschwindigkeit der Clients auf der sekundären Site in Frage kommt, insbesondere, wenn Sie auf der sekundären Site keinen DNS-Server haben.
Wenn ein Active Directory-Client (Computer oder Benutzer) versucht, sich bei der Domäne oder einem Domänendienst anzumelden, sucht er nach Domänencontrollern, indem er den in seinem System aufgeführten DNS-Server (NIC-Karteneinstellungen) nach den Adressen der Domänencontroller fragt (dies sind SRV-Einträge, keine normalen Host-A-Einträge). Daher müssen auf allen Ihren Clients am sekundären Standort DNS-Server auf ihren NIC-Karten eingerichtet sein, die diese Einträge enthalten. Dies bedeutet, dass, wenn das VPN ausfällt und alle Ihre Clients auf DNS am primären Standort schauen, Ihre DNS-Auflösung für alle ausfällt (sie können nicht im Internet surfen usw.). Es wird daher definitiv empfohlen, dass Sie auf dem sekundären Standort mindestens einen Active Directory-fähigen DNS-Server haben.
Antwort2
Es ist nicht unbedingt notwendig und es gibt Möglichkeiten, es zu umgehen. Es ist jedoch sehr praktisch, eines zu haben. Es hilft, Probleme mit DNS, Authentifizierung, Anmeldezeiten (Anwenden von Gruppenrichtlinien), Zeitdienst für Ihre Arbeitsstationen usw. zu vermeiden. Wie handhaben Sie DHCP für die Site?
Wenn Sie über die Sicherheit Ihres AD besorgt sind, können Sie einen schreibgeschützten DC installieren.
Wenn Ihre VPN-Verbindung unterbrochen ist und Sie keinen AD-Server vor Ort haben, treten alle möglichen Authentifizierungsprobleme auf und die Anmeldezeiten verlängern sich erheblich. Sie könnten einen lokalen DNS-Server haben, der als sekundärer Server für Ihren AD-DNS eingerichtet ist (und Datensätze zwischenspeichert), aber das umgeht nur eines der Probleme.