我计划在 AWS 上为我的公司部署 Active Directory 和域控制器。它主要用于以下用途:
- 用户授权(登录/注销过程)
- 文件共享/管理(员工可以相互共享文件)
- 部署 GPO(为了执行某些 IT 策略,例如 USB 访问等)。
除此之外,该服务器还将充当 Sharepoint 服务器(这意味着它需要 SQL 和 IIS)。
我问的是……[请参阅编辑]?
如果它是物理服务器,我会这样做:
- 购买PC服务器。
- 安装 Windows Server(如果尚未安装)。
- 配置 DHCP/DNS(以及所有其他网络内容)。
- 安装和配置域控制器。
- 安装和配置 Active Directory。
- 根据需要配置并强制执行 GPO。
我将从物理机器或远程连接执行上述所有操作。
附言:是的,我知道失去对域控制器的访问权限(即网络中断)的后果。我认为缓解这种情况的一种方法是在本地部署本地缓存存储。
编辑 我确实需要 AD/DC 来管理登录、组织层次结构和策略 (GPO)。这似乎与大多数服务器设置相反。我想使用基于云的服务作为主域控制器,并且将来还提供本地身份验证来管理打印/文件服务(如果可能的话)。
但我真的很想知道这是否可行?更重要的是,这是一种好的做法吗?
我不介意使用 Amazon 或 Azure。
答案1
即使使用最新版本的 Windows,在异地托管 Active Directory (AD) 也是一种非常不典型的配置。你不会发现很多人推荐它。
从安全角度来看,AD 的设计并未考虑直接暴露在互联网上的威胁模型。如果要防止域控制器 (DC) 直接暴露在互联网上,则需要某种从客户端到域控制器 (DC) 的安全隧道。这将使您的配置复杂化,并且可能使加入域变得有些复杂。(多年来,我听说过在客户端和 DC 之间使用强制传输模式 IPSEC,但我从未真正看到任何人实施它。同样,DirectAccess 也应该可以解决这个问题。)
与现场域控制器相比,您将看到性能下降,尤其是组策略应用程序的性能。启动和登录期间客户端和 DC 之间的交互并不占用太多带宽,因为它由大量往返组成。延迟将是一个杀手。异地托管可能永远不会在 LAN 上达到低于 1ms 的延迟。
如果您的客户分布在各地,那么异地托管 AD 可能是一个“胜利”,前提是您能够让它发挥作用。但是,如果您的客户主要是集中式的,我敢打赌,您在现场托管 AD 的长期开支会更少。开始异地托管并不能减轻对备份、额外的副本域控制器或系统管理的需求。
当然,如果您使用组策略进行任何重要操作,则性能因素对于现场托管而言将是“胜利”,除非您与托管 DC 有某种超低延迟连接。