我正在看一份接管一家公司基础设施管理的 RFQ。我对细节不太清楚(正在准备回复一封电子邮件以澄清一些事情),但听起来他们想把办公室里的所有硬件都搬走。他们运行的东西相对标准(AD、Exchange、SQL Server、SharePoint)。
我的问题与拥有远程 AD 控制器有关。我知道在很多情况下,您的分支机构会通过站点到站点 VPN 使用总部的 AD 控制器。将整个堆栈迁移到远程站点(我们的办公室,或者更可能是本地主机托管设施)感觉有点不对劲。显然,至少需要保留某种设备来执行 DHCP,因为他们当前的 AD 服务器负责处理所有 DHCP 和 DNS 职责。
这种配置对其他人来说看起来合法吗?
答案1
简短的回答:这“可能”是一个糟糕的想法,取决于 WAN 链接(谢谢大家)。
更长的答案:您将通过 VPN 发送(几乎)所有身份验证流量。这不仅会带来大量不必要的开销,而且如果它们在远程端托管了漫游配置文件,则可能完全无法维持。Exchange 和 SharePoint 都可能涉及 SSO 的 SPN,因此它们的 Kerberos 流量是另一个考虑因素。
他们无法避免在现场安装某种硬件,无论是大型 VPN 盒还是 AD 盒。它们都是单点故障,那么为什么不使用您真正需要的 SPOF 呢?
您可以托管另一个 DC 及其 Exchange/Sharepoint 设置。我强烈建议在现场至少有一个具有 DNS 和 DHCP 的 DC(您可能不希望在您这边有 DHCP)。根据他们使用 SQL Server 的方式,这可能也必须存在于客户端。
答案2
如果您有一个可靠的 VPN 终端点,那么就可以做到这一点,但更好的选择是保留至少一个本地盒子并在本地虚拟化 DC 和 DHCP 服务器,以防链接出现故障。