у нас есть сервер Active Directory 2008 R2 на нашем основном сайте. Недавно мы открыли небольшой вторичный сайт. Мой вопрос довольно прост: наши 2 сайта соединены VPN, обязательно ли нам устанавливать вторичный сервер AD на нашем вторичном сайте или мы можем использовать наш основной AD на 2 сайтах?
решение1
Теоретически нет, вам не обязательно иметь DC на обоих сайтах.
Если у вас есть DNS-сервер на вторичном сайте (или ваши клиенты указывают на DNS-сервер на первичном сайте) с записями srv для вашего контроллера домена на первичном сайте и все ваши клиенты могут получить доступ к контроллерам домена, то вам не нужен еще один DNS-сервер на вторичном сайте.
Но мы бы рекомендовали вам его иметь, поскольку VPN-сервис может выйти из строя, и возникает вопрос скорости для клиентов на вторичном сайте, особенно если у вас нет DNS-сервера на вторичном сайте.
Когда клиент Active Directory (компьютер или пользователь) пытается войти в домен или какую-либо доменную службу, он ищет контроллеры домена, запрашивая у DNS-сервера, указанного в его системе (настройки сетевой карты), адреса контроллеров домена (это записи srv, которые не являются обычными записями хоста A), поэтому все ваши клиенты на вторичном сайте должны иметь DNS-сервер, установленный на своих сетевых картах, с этими записями. Это означает, что если VPN выйдет из строя и все ваши клиенты будут просматривать DNS на основном сайте, разрешение DNS выйдет из строя для всех них (они не смогут просматривать веб-страницы и т. п.), поэтому определенно рекомендуется, чтобы у вас был как минимум DNS-сервер с поддержкой Active Directory на вторичном сайте.
решение2
Это не 100% необходимо, и есть способы обойти это. Тем не менее, иметь его очень практично. Это поможет избежать проблем с DNS, аутентификацией, временем входа (применение групповых политик), службой времени для ваших рабочих станций и т. д. Как вы будете обрабатывать DHCP для сайта?
Если вы обеспокоены безопасностью своей AD, вы можете установить контроллер домена только для чтения.
Если ваш VPN-канал не работает, а у вас нет сервера AD на месте, у вас будут всевозможные проблемы с аутентификацией, а время входа в систему значительно увеличится. У вас может быть локальный DNS-сервер, настроенный как вторичный по отношению к вашему AD DNS (и кэширующий записи), но это работает только в обход одной из проблем.