我们的主要站点上有一个 2008 R2 活动目录服务器。最近我们开通了一个小型辅助站点。我的问题很简单:我们的 2 个站点通过 VPN 连接,我们是否必须在辅助站点上安装辅助 AD 服务器,或者我们可以在 2 个站点上使用主 AD?
答案1
理论上来说,您不必在两个站点上都拥有 DC。
如果您在辅助站点上有一个 DNS 服务器(或者您的客户端指向主站点上的 DNS 服务器),并且该服务器具有主站点上域控制器的 srv 记录,并且您的客户端都可以访问域控制器,那么您不需要另一个位置。
但建议您拥有它,因为 VPN 服务可能会中断,并且辅助站点上的客户端存在速度问题,特别是如果您在辅助站点上没有 DNS 服务器。
当 Active Directory 客户端(计算机或用户)尝试登录到域或某些域服务时,它会通过向其系统(NIC 卡设置)上列出的 DNS 服务器询问域控制器的地址来查找域控制器(这些是 srv 记录,不是常规主机 A 记录),因此辅助站点上的所有客户端都必须在其 NIC 卡上设置具有这些记录的 DNS 服务器,这意味着,如果 VPN 发生故障,并且您的客户端都在主要位置查看 DNS,则所有客户端的 DNS 解析都将发生故障(他们将无法进行 Internet 浏览等操作),因此,绝对建议您在辅助站点上至少有一个支持 Active Directory 的 DNS 服务器。
答案2
这并非 100% 必要,而且有办法解决。但是,拥有一个非常实用。它将有助于避免 DNS、身份验证、登录时间(应用组策略)、工作站的时间服务等问题。您将如何处理站点的 DHCP?
如果您担心 AD 的安全性,可以安装只读 DC。
如果您的 VPN 链接中断,并且您没有现场 AD 服务器,那么您将遇到各种身份验证问题,并且登录时间将大大增加。您可以设置一个本地 DNS 服务器作为 AD DNS 的辅助服务器(并缓存记录),但这只能解决其中一个问题。