최근에 성장한 지점 사이트에 새 DC를 설치하려고 합니다. 저는 이것이 상대 IP 링크 비용과 관련 매개 변수를 사용하여 Active Directory 사이트 및 서비스에 새 사이트를 만드는 것이 가장 좋은 방법이라는 것을 알고 있습니다.
그러나 본사와 이 지점 모두 강력한 인터넷 연결(100Mb/s 파이버)을 갖추고 있으며 둘 다 단일 사이트에 두는 것이 더 나은지 궁금합니다(예: 사이트 내 정책에 따라 매우 짧은 복제 대기 시간을 허용).
일부 잘 알려진 리소스에서 10Mb/s를 초과하는 모든 것은 단일 사이트로 간주되어야 한다는 내용을 읽었습니다. 그러나 각 실제 사이트를 AD 사이트에 매핑하라는 조언도 있습니다.
확립된 모범 사례는 무엇입니까?
답변1
해당 사이트 사이에 ISP가 있다는 점을 고려하면 다음 두 가지 이유로 새 지점 전용 AD 사이트를 만들 것입니다.
- 서브넷별로 사용자 인증을 분리합니다. 어떤 이유로 이러한 사이트 간의 연결이 실패하더라도 그러한 영향은 없습니다.
- 조직 - 회사가 크게 성장하기 시작하고 Active Directory가 물리적 구조를 반영한다면 조직은 매우 도움이 될 것입니다. 저를 믿으세요! 조직화되지 않은 AD는 유지 관리 및 문제 해결을 어렵게 만듭니다.
답변2
비용에 관계없이 원하는 고객을 위해 "전체 클라우드" 마이그레이션을 방금 완료했습니다. 여기에는 내가 FoxPass로 마이그레이션한 AD가 포함되었습니다. 문제의 클라이언트는 이전에 각 사이트에서 단일 AD 서버를 통해 수행되었던 세 사이트 모두에 100Mb 링크를 가지고 있습니다. 회사 전체에는 약 75명의 활성 사용자가 있습니다.
RadSec 및 LDAPS를 통한 RADIUS를 갖춘 FoxPass 시스템은 워크스테이션 및 사이트별 방화벽뿐만 아니라 모든 클라우드 리소스의 ID 시스템을 함께 연결합니다. 이러한 것들이 더 이상 온프레미스에 존재하지 않으며 AD가 효과적으로 추방되었다는 사실도 눈에 띄지 않습니다. 단점은 가격이 꽤 비싸다는 것. 실제로 광범위한 사용 사례에 대해 온프레미스 AD와 동등한 기능을 제공하는 저렴한 IDaaS 제품을 찾지 못했습니다.
그러나 요구 사항에 따라 ID 서비스를 단일 로컬 호스팅 사이트로 격리하는 것은 충분히 강력하지 않을 수 있습니다. 이미 대규모 HA 클라우드 솔루션을 사용하지 않더라도 사이트당 최소 하나의 AD 서버를 사용하는 것이 여전히 최선의 방법이라고 생각합니다.