Я собираюсь установить новый DC на недавно выросшем сайте филиала. Я знаю, что это лучшая практика — создать новый сайт в Active Directory Site and Service с относительной стоимостью IP-соединения и соответствующими параметрами.
Однако и главный офис, и этот филиал оснащены мощными интернет-соединениями (оптоволокно 100 Мбит/с), и мне интересно, не лучше ли оставить их на одной площадке (т. е. наслаждаться очень малой задержкой репликации в соответствии с политикой внутри площадки).
На некоторых известных ресурсах я читал, что все, что > 10 Мбит/с, следует рассматривать как один сайт; однако другие советуют сопоставлять каждый физический сайт с сайтом AD.
Каковы устоявшиеся передовые практики?
решение1
Учитывая, что между этими сайтами есть интернет-провайдер, я бы создал сайт AD, выделенный для этого нового филиала, по двум причинам:
- Разделите аутентификации пользователей по подсетям. Если соединение между этими сайтами по какой-то причине прервется, это не будет иметь таких последствий.
- Организация - Если ваша компания начинает сильно расти и ваш Active Directory отражает вашу физическую структуру, организация будет очень полезна, поверьте мне! Неорганизованный AD начнет затруднять обслуживание и устранение неполадок.
решение2
Я только что закончил миграцию в "полное облако" для клиента, который хотел этого любой ценой. Это включало AD, которую я перенес в FoxPass. У этого клиента есть 100-мегабитные ссылки на всех трех сайтах, которые ранее выполнялись через один сервер AD на каждом из этих сайтов. В целом у компании около 75 активных пользователей.
Система FoxPass с RADIUS через RadSec и LDAPS связывает воедино системы идентификации всех их облачных ресурсов, а также их рабочие станции и межсетевые экраны на каждом сайте. Даже не заметно, что эти вещи больше не являются локальными, и AD фактически изгнан. Недостаток в том, что это довольно дорого. Я не нашел дешевого предложения IDaaS, которое фактически предоставляет локальный эквивалент AD для широкомасштабных вариантов использования.
Однако изоляция служб идентификации на одном локально размещенном сайте может оказаться недостаточно надежной в зависимости от ваших требований. Не прибегая к уже массовому облачному решению HA, я думаю, что выбор по крайней мере одного сервера AD на сайт все равно будет вашим лучшим выбором.