Tenemos un servidor de directorio activo 2008 R2 en nuestro sitio principal. Recientemente abrimos un pequeño sitio secundario. Mi pregunta es bastante simple: nuestros 2 sitios están conectados con una VPN, ¿es obligatorio que instalemos un servidor AD secundario en nuestro sitio secundario o podemos usar nuestro AD principal en los 2 sitios?
Respuesta1
En teoría no, no es necesario tener DC en ambos sitios.
Si tiene un servidor DNS en el sitio secundario (o sus clientes apuntan al servidor DNS en el sitio principal) con los registros srv para su controlador de dominio en el sitio principal y todos sus clientes pueden acceder a los controladores de dominio, entonces no lo hace. Necesito otro en el lugar.
Pero la recomendación sería que lo tenga, porque el servicio VPN puede fallar y hay una cuestión de velocidad para los clientes en el sitio secundario, especialmente si no tiene un servidor DNS en el sitio secundario.
Cuando un cliente de Active Directory (computadora o usuario) intenta iniciar sesión en el dominio o en algún servicio de dominio, busca controladores de dominio solicitando al servidor DNS que ha incluido en su sistema (configuración de la tarjeta NIC) las direcciones de los controladores de dominio ( estos son registros srv que no son registros de host A normales), por lo que todos sus clientes en el sitio secundario deben tener un servidor DNS configurado en sus tarjetas NIC que tenga esos registros, lo que significa que si la VPN se cae y todos sus clientes están mirando en DNS en la ubicación principal, su resolución de DNS disminuirá para todos ellos (no podrán navegar por Internet y similares), por lo que definitivamente se recomendaría que tenga al menos un servidor DNS compatible con Active Directory en el sitio secundario. .
Respuesta2
No es 100% necesario y hay formas de evitarlo. Sin embargo, es muy práctico tener uno. Ayudará a evitar problemas con DNS, autenticación, tiempos de inicio de sesión (aplicando políticas de grupo), servicio horario para sus estaciones de trabajo, entre otras cosas. ¿Cómo manejará DHCP para el sitio?
Si le preocupa la seguridad de su AD, puede instalar un DC de solo lectura.
Si su enlace VPN no funciona y no tiene un servidor AD en el sitio, tendrá todo tipo de problemas de autenticación y los tiempos de inicio de sesión aumentarán considerablemente. Podría tener un servidor DNS local configurado como secundario a su DNS de AD (y registros de caché), pero eso solo soluciona uno de los problemas.