我正在研究将我们的小型(但不微小)托管基础设施从具有唯一本地用户名和密码的独立服务器转移到更集成的活动目录设置的可行性,目的是利用以下功能:
- 轻松管理员工特定的服务器访问和审计,无需维护密码列表
- 具有复制功能的 DFS 迁移至 IIS NLB webfarm
- 轻松部署 Windows 更新和常规安全更新,对服务器进行全局更改
我在 Vmware 服务器 2 上运行了一半(目前正在迁移到 Esxi),主要运行 win2k3 机器,另外一半物理机器也主要运行 win2k3。
服务器包括:2 台 DNS 服务器
5 台 IIS6 网络服务器
5 台 MSSQL2000 / 2008 服务器
10 台 IIS6 和 MSSQL 2000 专用服务器
2 台 NAS 备份服务器
2 台 IIS7 和 MSSQL 2008 服务器
5 台运行 VMware 服务器的 Win2k3x64 服务器(即将转换)
其他测试服务器
我现在有(感谢 VMware 的强大功能)2 个域控制器
我在尝试使用现有 DNS 服务器上的现有 AD DNS 名称 (companyname.com) 时遇到了问题。我应该配置这些服务器以接受来自新 DC 的更新,还是应该以其他方式委派权限?
我主要关心的是,大约 10 个用户从我的办公室登录远程数据中心域的最佳方法是什么,我是否应该在我的办公室设置 1-2 个域控制器用于登录?如果配置正确,我是否可以将用户绑定到更轻松地登录我的远程服务器?或者我不需要办公室的域控制器?如果发生互联网中断,我不希望用户无法登录他们的机器。
我的第二个担忧是,如果我从共享用户登录转到删除服务器,目前这些用户共享终端服务会话并获取非活动会话等。如果我让人们通过唯一帐户访问,则每个用户都会产生单独的会话。这些在 AD 环境中是如何控制的,或者它们是否默认受到 win2k3 限制 2 个会话 + 控制台的限制?如果我要购买额外的终端服务器许可证,是按用户购买还是按机器购买?我担心会引入这些目前没有的问题。
我计划将每种类型的服务器试连接到新域,然后进行大规模推广,这似乎是正确的做法。
有人能回答我的问题或者指出我遗漏的任何明显之处吗?
答案1
至于与 DNS 集成,最常见的解决方案是使用子域。然后,您可以将当前 DNS 服务器对该子域的委托权限设置为 AD 服务器。
例如,如果您的站点是 example.com,则应将域的 FQDN 改为 ad.example.com。您的 example.com DNS 服务器应有一个指向 ad.example.com 的存根。确保 DHCP 具有这两个后缀,或者至少具有 AD 后缀。
合理?
答案2
理想情况下,您应该至少有一个用户本地的域控制器,但如果您与用户物理位置的连接速度足够快,那么这并不重要。即便如此,我还是希望看到至少一个 DC,如果发生 WAN 中断,它不会与您的用户隔离,它不必是一个特别强大的盒子,任何入门级服务器可能对您来说都绰绰有余。
如果您暂时失去对域的访问权限,那么对机器的本地登录将继续适用于之前已登录的帐户 - 这使用本地缓存的凭据,其方式与断开连接的笔记本电脑在断开网络时的工作方式相同。
当您转到正确的帐户->用户映射时,您将需要为用户所连接的系统整理终端服务器许可,因为将适用 2 个会话+控制台限制。有许多选项 - 如果您有很多用户共享用于访问终端会话的相同系统(例如,您有一个(相对)较少的共享 PC 池,用于大量用户),则按设备 CAL 可能比较合适,但如果您的大多数用户都有专用 PC,则按用户许可可能更合适。2008 终端服务许可常见问题解答对此有更多详细信息。