我將在最近增長的分支站點上安裝新的 DC。我知道這是在 Active Directory 網站和服務中建立新網站以及相對 IP 連結成本和相關參數的最佳實踐。
然而,總部和分公司都配備了強大的網路連線(100 Mb/s 光纖),我想知道將兩者保留在單一網站上是否更好(即:根據網站內策略享受非常小的複製延遲)。
在一些知名資源上,我讀到任何> 10 Mb/s 的內容都應被視為單一網站;然而,其他人建議將每個實體站點對應到 AD 站點。
什麼是既定的最佳實務?
答案1
考慮到您在這些站點之間有一個 ISP,我將建立一個專門用於該新分支的 AD 站點,原因有二:
- 隔離每個子網路的使用者身份驗證。如果這些站點之間的連接由於某種原因失敗,則不會產生這樣的影響。
- 組織 - 如果您的公司開始大幅成長,並且您的 Active Directory 反映了您的實體結構,那麼組織將非常有幫助,相信我!無組織的 AD 將開始使維護和故障排除變得困難。
答案2
我剛剛為一位不惜一切代價想要它的客戶完成了“全雲”遷移。其中包括 AD,我將其遷移到 FoxPass。相關客戶端在所有三個網站上都有 100Mb 的鏈接,以前是透過每個網站上的單一 AD 伺服器完成的。該公司整體擁有約 75 名活躍用戶。
FoxPass 系統採用 RadSec 上的 RADIUS 和 LDAPS 將所有雲端資源的身份系統以及工作站和每站點防火牆連接在一起。甚至沒有註意到這些東西不再是本地的,而 AD 已被有效地消除。缺點是它相當昂貴。我還沒有找到一個便宜的 IDaaS 產品,實際上可以為廣泛的用例提供相當於本地 AD 的功能。
但是,根據您的要求,將身分識別服務隔離到單一本機託管網站可能不夠穩健。如果不尋求已經大規模的 HA 雲端解決方案,我認為每個網站至少使用一台 AD 伺服器仍然是您的最佳選擇。