我最近开始在一家拥有 2 个地点的公司担任网络管理员,我们使用 VPN 连接它们。我们需要在第二个地点设置 Active Directory 和 Exchange Server,以便与第一个地点完全集成。我已经创建并测试了具有新林/域的新服务器。我的问题是,最好的方法是什么?请记住,我们需要将 VPN 流量保持在最低限度,我们需要所有 AD 操作都保持在本地,并且只有当我们需要访问另一个域上的信息时,我们才需要通过 VPN。那么最好使用单个林还是 2 个林并在域之间设置信任?请记住,我们还需要将 2 个 Exchange 服务器彼此完全集成并与两个 AD 域完全集成。
答案1
我认为你想得太多了。只要两个位置都是同一家公司,并且您没有其他理由在林中创建第二个域,为什么不直接安装第二个 DC 并将其绑定到同一个域呢?
在 AD 中,您可以创建站点,并在每个站点内列出存在哪些子网,然后列出哪个站点中的域控制器。这样,每个站点中的客户端将自动尝试首先联系其站点中的 DC,如果该 DC 不可用,它们将故障转移到另一个站点中的 DC。
此外,您可以轻松控制 AD 的复制行为。如果您只需要两个 DC 每晚同步,那么您可以配置它。也就是说,复制流量通常非常小,可能只占 VPN 流量的一小部分。
答案2
除非第二个站点有第二组管理员,否则我会将整个系统设置为一个域,并为每个位置创建一个站点。将计算机分配到适当的站点,所有身份验证和相关流量都应留在本地站点,除非本地站点的 DC 出现问题。
通过交换,只需有两个不同的服务器,每个站点一个,并将用户分配给他们站点的服务器。