Voy a instalar un nuevo DC en una sucursal recientemente construida. Sé que es una buena práctica crear un nuevo sitio en el sitio y servicio de Active Directory, con el costo relativo del enlace IP y los parámetros relacionados.
Sin embargo, tanto la sede como esta sucursal están equipadas con potentes conexiones a Internet (fibra de 100 Mb/s) y me pregunto si es mejor dejar ambas en un solo sitio (es decir, disfrutar de una latencia de replicación muy pequeña según la política intrasitio).
En algunos recursos conocidos leí que cualquier cosa > 10 Mb/s debe considerarse como un solo sitio; sin embargo, otros recomiendan asignar cada sitio físico a un sitio AD.
¿Cuáles son las mejores prácticas establecidas?
Respuesta1
Teniendo en cuenta que tiene un ISP entre esos sitios, crearía un sitio AD dedicado para esa nueva rama por dos razones:
- Segregar las autenticaciones de usuarios por subred. Si la conexión entre estos sitios falla por algún motivo, no tendría tal impacto.
- Organización - Si tu empresa empieza a crecer mucho y tu Active Directory refleja tu estructura física, la organización te será de gran ayuda, ¡créame! Un AD desorganizado comenzará a dificultar el mantenimiento y la resolución de problemas.
Respuesta2
Acabo de terminar una migración a "nube completa" para un cliente que la quería sin importar el costo. Esto incluía AD, que migré a FoxPass. El cliente en cuestión tiene enlaces de 100 MB en los tres sitios, que anteriormente se realizaban a través de un único servidor AD en cada uno de esos sitios. La empresa en su conjunto cuenta con unos 75 usuarios activos.
El sistema FoxPass con RADIUS sobre RadSec y LDAPS une los sistemas de identidad de todos sus recursos en la nube, así como sus estaciones de trabajo y firewalls por sitio. Ni siquiera se nota que estas cosas ya no están en las instalaciones y que AD ha sido efectivamente desterrado. La desventaja es que es bastante caro. No he encontrado una oferta de IDaaS barata que realmente proporcione un equivalente de AD local para casos de uso de amplio alcance.
Sin embargo, aislar los servicios de identidad en un único sitio alojado localmente puede no ser lo suficientemente sólido según sus requisitos. Sin optar por una solución de nube de alta disponibilidad que ya es masiva, creo que optar por al menos un servidor AD por sitio sigue siendo la mejor opción.