我为一家小型组织工作,该组织不久将在这里开设另一个业务分支。我们有一个现有的 Active Directory 基础架构,并希望向林中添加另一个域。同时,我们正在将现有基础架构迁移到数据中心,因此额外服务器的成本是所有这一切中的一个重要因素。
我一直被告知,在您的环境中部署冗余域控制器是一种很好的做法。话虽如此,组织的预算已经超出了上限,在数据中心内为两个域部署冗余域控制器将非常困难。在这种情况下,是否可以在每个域中只有一个 DC 的情况下部署某种冗余?例如,假设我有 domain1.mycorp.com 和 domain2.mycorp.com,并且两个域都只托管一个 DC。如果 domain2 DC 发生故障,是否仍然可以从 domain1 DC 对 domain2 的用户进行身份验证?如果可能,我该怎么做?任何帮助或见解都将不胜感激。
谢谢
答案1
建议您使用冗余域控制器的原因主要是为了容错。冗余域控制器还有许多其他好处,但能够始终保持域控制器提供的服务正常运行对于您今后的发展非常重要。
对于来自单个域控制器的多域广告,这是无法做到的。
需要考虑的一些容错点:
如果您在一天中遇到域控制器问题,并且需要重新启动它或出于某种原因对其进行处理,则很有可能所有依赖于 Active Directory 域的服务都不可用。因此,您的所有用户都会遇到某种程度的中断。示例问题:Exchange 和 SQL 服务器的服务帐户会查找 AD 以获取最终用户访问权限......好吧......几乎所有内容。没有 DC,就无法工作。
您的所有身份验证(在您的场景中)都将通过 WAN 链路传输到数据中心,以便最终用户进行身份验证。您的连接存在多个故障点,当您与 ISP 的连接出现问题时,没有本地域控制器可能会带来挑战。
您的整个安全上下文都在 Active Directory 中公布。您的所有用户对象、组对象、计算机/服务器对象等都存储在您的 AD 中。与域中所有内容的安全属性相关的所有内容。如果您丢失了该域控制器并且由于某种原因无法恢复,您将重建域,将所有计算机重新加入新域,重新创建用户帐户,如此反复……您明白了。
恕我直言,让一个域控制器来宣传您的域是不值得冒的风险的。如果预算有限,那么掌握“向上管理”的技能,与领导团队一起设定成本预期和优先事项,对你的职业生涯将大有裨益。
答案2
考虑到我们环境的规模,我们将其保留在单个域中,并使用 OU 来隔离两个业务分支。