我准备在新近发展的分支站点上安装新的 DC。我知道在 Active Directory 站点和服务中创建一个新站点并设置相对 IP 链接成本和相关参数是最佳做法。
然而,总部和分支机构都配备了强大的互联网连接(100 Mb/s 光纤),我想知道是否最好将两者都留在一个站点上(即:按照站点内策略享受非常小的复制延迟)。
在一些知名资源上,我读到任何 > 10 Mb/s 的东西都应被视为单个站点;然而,其他人建议将每个物理站点映射到一个 AD 站点。
既定的最佳实践有哪些?
答案1
考虑到这些站点之间有一个 ISP,我会为该新分支创建一个专用的 AD 站点,原因有二:
- 按子网隔离用户身份验证。如果这些站点之间的连接由于某种原因失败,也不会产生这样的影响。
- 组织 - 如果您的公司开始大幅发展,并且您的 Active Directory 反映了您的物理结构,那么组织将非常有用,相信我!无组织的 AD 将开始使维护和故障排除变得困难。
答案2
我刚刚为一位不惜一切代价想要实现“全云”迁移的客户完成了迁移。其中包括 AD,我将其迁移到了 FoxPass。该客户在所有三个站点都有 100Mb 链接,以前是通过每个站点上的单个 AD 服务器完成的。整个公司大约有 75 名活跃用户。
FoxPass 系统通过 RadSec 和 LDAPS 上的 RADIUS 将所有云资源的身份系统以及工作站和每个站点的防火墙绑定在一起。这些东西不再位于本地,这一点甚至都察觉不到,而且 AD 已被有效淘汰。缺点是它相当昂贵。我还没有找到便宜的 IDaaS 产品,它实际上为广泛用例提供了本地 AD 等效产品。
但是,根据您的要求,将身份服务隔离到单个本地托管站点可能不够强大。如果不采用已经大规模 HA 的云解决方案,我认为每个站点至少使用一台 AD 服务器仍然是最好的选择。