具有多个分支的 Active Directory 设置

解决方案可以涵盖所有方面，从单个 DC 和站点到站点 VPN，到每个站点的冗余 DC。如果您还不是 AD 的重度用户，我会研究 Azure AD，看看它是否适合您的需求。您不必许可、安装或维护任何硬件。Azure AD 包含在 E3 或 E5 中（针对围绕 Office 365 构建业务流程的中型和大型企业的热门计划）。我强烈建议您与当地顾问或 MSP（托管服务提供商）讨论您的具体情况（FD：我在 MSP 工作）。

我支持前面的回应，直接跳过它。原因如下：

1. 您实际上会将 AD 用于什么用途？如果是一家成熟的企业，您显然没有本地 Exchange，可能也没有文件/打印功能。也许有一些支持 AD 的业务线应用程序/数据库，但不支持 Azure，并且会受益于集中式身份验证。但如果 AD 没有用例，请不要使用它。

2. 您显然对 AD 了解不多。仅从您提到的一句话中可以得出 AD 设计选择的部分列表：每个 AD 实例都由一个林和至少一个域组成（如今通常只有一个域）；AD 站点实际上与物理位置无关；如果您在连接良好的位置拥有多个 DC，则可以将它们全部放在同一个默认“站点”中（客户端使用 DC 进行身份验证所需的所有端口都是 DC <-> DC 通信所需的）；但是，为企业运行单个 DC 充其量是有风险的。因此，如果您至少有两个位置，则应该使用它们来传播您的 DC。这甚至没有触及设计 AD 站点拓扑的表面，更不用说创建/管理 AD 林及其用户所涉及的任何其他问题了。
   （还有一个问题 - 您在这些地方有服务器机房吗？或者您是否将服务器放在办公室文具柜中，在那里它们可能会过热，被清洁工或正在给手机充电的人关闭，或者被任何路人偷走 - 包括所有安全信息，如帐户 ID 和密码？）

3. 它引入了许可等方面的复杂性——AD 服务器操作系统将如何获得许可？虽然 Office 的 E3/E5 许可证并不便宜，而且无论哪种许可证都涵盖 Windows（和 Defender？），但如果您使用的是 Office 产品（包括 Exchange Online 和/或 Sharepoint Online/Teams），您可能会发现走这条路并使用 365 许可更经济。如果您只是在 AzureAD 中“加入”您的 Windows 设备并在那里管理它们和用户，则不需要 AD。如果您不想要 365 服务，您需要“客户端访问许可证”（CAL）来允许您的用户（和 Windows 计算机）使用 Active Directory。我认为您可以使用一个 Windows Server 许可证获得 10 个开箱即用的 CAL。每个用户必须至少有一个 CAL。如果您使用的是本地 Exchange 或 SQL 等产品，则需要额外的每个产品 CAL。

4. 还有很多其他考虑因素，主要取决于为什么你绝对会想要它。

过去几年，我建立了一个全新的 AD，目的是从具有本地服务的现有 eDirectory 环境迁移到支持与 365 服务（包括 EXO/Teams/SPO 等）集成的环境。诸如此类的事情，或者创建一个以本地为主的环境，其中包含与 AD 集成的文件/打印/应用程序服务，几乎是我现在建议建立新 AD 的唯一原因。尤其是对于小型企业，如果没有内部专业知识，更是如此。