temos um servidor de diretório ativo 2008 R2 em nosso site principal. Recentemente abrimos um pequeno site secundário. Minha pergunta é bem simples: nossos 2 sites estão conectados com uma VPN, é obrigatório instalarmos um servidor AD secundário em nosso site secundário ou podemos usar nosso AD principal nos 2 sites?
Responder1
Em teoria não, você não precisa ter DC em ambos os sites.
Se você tiver um servidor DNS no site secundário (ou seus clientes estiverem apontando para o servidor DNS no site primário) com os registros srv do seu controlador de domínio no site primário e todos os seus clientes puderem acessar os controladores de domínio, então você não preciso de outro no local.
Mas a recomendação seria que você tivesse, pois o serviço VPN pode cair, e há uma questão de velocidade dos clientes no site secundário, principalmente se você não tiver servidor DNS no site secundário.
Quando um cliente do Active Directory (computador ou usuário) está tentando fazer logon no domínio ou em algum serviço de domínio, ele procura controladores de domínio solicitando ao servidor DNS listado em seu sistema (configurações da placa NIC) os endereços dos controladores de domínio ( esses são registros srv que não são registros regulares do host A), então todos os seus clientes no site secundário precisam ter um servidor DNS configurado em suas placas NIC que contenham esses registros, o que significa que se a VPN cair e todos os seus clientes estiverem procurando no DNS no local primário, sua resolução de DNS diminuirá para todos eles (eles não poderão navegar na Internet e similares), portanto, seria definitivamente recomendado que você tenha pelo menos um servidor DNS compatível com Active Directory no site secundário .
Responder2
Não é 100% necessário e existem maneiras de contornar isso. Porém, é muito prático ter um. Isso ajudará a evitar problemas com DNS, autenticação, tempos de login (aplicação de políticas de grupo), serviço de horário para suas estações de trabalho, entre outras coisas. Como você lidará com o DHCP do site?
Se você estiver preocupado com a segurança do seu AD, poderá instalar um DC somente leitura.
Se o seu link VPN estiver inativo e você não tiver um servidor AD no local, você terá todos os tipos de problemas de autenticação e o tempo de login aumentará bastante. Você pode ter um servidor DNS local configurado como secundário ao DNS do AD (e armazenar registros em cache), mas isso só resolve um dos problemas.