Ich werde einen neuen DC auf einer kürzlich erweiterten Zweigstelle installieren. Ich weiß, dass es sich bewährt hat, eine neue Site in Active Directory Site and Service mit den relativen IP-Verbindungskosten und zugehörigen Parametern zu erstellen.
Allerdings sind sowohl die Zentrale als auch diese Zweigstelle mit leistungsstarken Internetverbindungen (100 Mbit/s Glasfaser) ausgestattet, und ich frage mich, ob es nicht besser ist, beide an einem Standort zu belassen (d. h., gemäß der Intrasite-Richtlinie von sehr geringen Replikationslatenzen zu profitieren).
In einigen bekannten Quellen habe ich gelesen, dass alles über 10 Mbit/s als einzelner Standort betrachtet werden sollte. Andere raten jedoch dazu, jeden physischen Standort einem AD-Standort zuzuordnen.
Was sind etablierte Best Practices?
Antwort1
Da zwischen diesen Sites ein ISP besteht, würde ich aus zwei Gründen eine dedizierte AD-Site für diesen neuen Zweig erstellen:
- Trennen Sie die Benutzerauthentifizierungen pro Subnetz. Wenn die Verbindung zwischen diesen Sites aus irgendeinem Grund fehlschlägt, hätte dies keine derartigen Auswirkungen.
- Organisation - Wenn Ihr Unternehmen stark wächst und Ihr Active Directory Ihre physische Struktur widerspiegelt, wird die Organisation sehr hilfreich sein, glauben Sie mir! Ein unorganisiertes AD wird die Wartung und Fehlerbehebung erschweren.
Antwort2
Ich habe gerade eine „vollständige Cloud“-Migration für einen Kunden abgeschlossen, der dies unabhängig von den Kosten wollte. Dazu gehörte AD, das ich zu FoxPass migriert habe. Der betreffende Kunde verfügt an allen drei Standorten über 100-MB-Links, die früher über einen einzelnen AD-Server an jedem dieser Standorte bereitgestellt wurden. Das Unternehmen insgesamt hat etwa 75 aktive Benutzer.
Das FoxPass-System mit RADIUS über RadSec und LDAPS verbindet die Identitätssysteme aller Cloud-Ressourcen sowie der Workstations und Firewalls pro Standort. Es fällt nicht einmal auf, dass diese Dinge nicht mehr vor Ort sind und AD effektiv verbannt wurde. Der Nachteil ist, dass es ziemlich teuer ist. Ich habe kein günstiges IDaaS-Angebot gefunden, das tatsächlich ein AD-Äquivalent vor Ort für weitreichende Anwendungsfälle bietet.
Allerdings ist es je nach Ihren Anforderungen möglicherweise nicht robust genug, Identitätsdienste auf eine einzelne lokal gehostete Site zu beschränken. Ohne eine bereits massiv hochverfügbare Cloud-Lösung zu verwenden, ist meiner Meinung nach die beste Lösung immer noch mindestens ein AD-Server pro Site.