우리의 기본 사이트에는 2008 R2 Active Directory 서버가 있습니다. 최근에 우리는 작은 보조 사이트를 열었습니다. 내 질문은 매우 간단합니다. 2개의 사이트가 VPN으로 연결되어 있습니다. 보조 사이트에 보조 AD 서버를 반드시 설치해야 합니까, 아니면 2개의 사이트에서 기본 AD를 사용할 수 있습니까?
답변1
이론적으로는 두 사이트 모두에 DC가 있을 필요는 없습니다.
보조 사이트에 DNS 서버가 있고(또는 클라이언트가 기본 사이트의 DNS 서버를 가리키고 있음) 기본 사이트의 도메인 컨트롤러에 대한 srv 레코드가 있고 클라이언트가 모두 도메인 컨트롤러에 액세스할 수 있는 경우 현장에 또 다른 것이 필요합니다.
그러나 VPN 서비스가 다운될 수 있고, 특히 보조 사이트에 DNS 서버가 없는 경우 보조 사이트의 클라이언트 속도에 문제가 있으므로 VPN을 사용하는 것이 좋습니다.
Active Directory 클라이언트(컴퓨터 또는 사용자)가 도메인이나 일부 도메인 서비스에 로그온하려고 하면 시스템(NIC 카드 설정)에 나열된 DNS 서버에 도메인 컨트롤러 주소( 이는 일반 호스트 A 레코드가 아닌 srv 레코드입니다. 따라서 보조 사이트의 모든 클라이언트는 해당 레코드가 있는 NIC 카드에 DNS 서버를 설정해야 합니다. 즉, VPN이 중단되고 클라이언트가 모두 검색 중임을 의미합니다. 기본 위치의 DNS에서는 모든 DNS 확인이 중단되므로(인터넷 검색 등을 수행할 수 없음) 보조 사이트에 최소한 Active Directory 지원 DNS 서버가 있는 것이 좋습니다. .
답변2
100% 필요한 것은 아니며, 이를 해결할 수 있는 방법이 있습니다. 그러나 하나쯤 있으면 매우 실용적입니다. DNS, 인증, 로그인 시간(그룹 정책 적용), 워크스테이션의 시간 서비스 등의 문제를 방지하는 데 도움이 됩니다. 사이트의 DHCP를 어떻게 처리할 예정입니까?
AD 보안이 염려된다면 읽기 전용 DC를 설치할 수 있습니다.
VPN 링크가 다운되고 현장에 AD 서버가 없으면 온갖 인증 문제가 발생하고 로그인 시간이 크게 늘어납니다. AD DNS에 대한 보조 서버로 설정된(그리고 레코드를 캐시하는) 로컬 DNS 서버가 있을 수 있지만 이는 문제 중 하나를 해결하는 데만 작동합니다.