Назад | Перейти на главную страницу

Одностороннее внешнее доверие между доменами

Моя компания продает программные решения клиентам, и в рамках поставки мы также предоставляем оборудование и конфигурацию.

Несмотря на то, что на бумаге все оборудование и операционные системы принадлежат клиенту, мы выполняем все администрирование (клиентам предоставляется доступ к серверам только по их запросу, что мы не можем отрицать, поскольку они владеют им), но это довольно редко). Это осуществляется через обычное VPN-соединение с клиентом.

До сих пор мы оставили все в рабочей группе, но по мере роста компании становится все труднее управлять делами таким образом.

Внутри мы уже используем Active Directory (назовем этот лес internal.local. Текущий план состоит в том, чтобы создать отдельный лес, который также будет жить в доме (назовем его customers.local), а затем создать субдомен для каждого из наших клиентов, т. е. customerA.customers.local, customerB.customers.localи т. д. У каждого поддомена будет один DC непосредственно на сайте клиента.

Идея состоит в том, чтобы иметь одностороннее внешнее доверие между internal.local и customers.local, чтобы служба поддержки могла использовать свои учетные записи из internal.local для подключения ко всем устройствам клиента.

Я вижу потенциальную проблему в том, что клиенты часто отключают некоторые серверы без какой-либо причины, и поскольку они принадлежат клиенту, мы не можем решить переключить их обратно на себя. Это означает, что нередко бывает ситуация, когда у клиента был отключен сервер на 6 месяцев или дольше.

Я знаю, что учетные данные кэшируются в течение определенного периода времени (настраиваемого) при аутентификации в домене, в котором находится компьютер, но я понимаю, что при аутентификации через доверие (или даже из дочернего в родительский домен?) Учетные данные не кэшируются. Это верно?

Если это так, то после того, как единственный DC клиента выйдет из строя, служба поддержки не сможет аутентифицироваться с использованием своих пользователей из internal.local, даже если они подключились всего за 5 минут до этого.

Может кто-нибудь уточнить, так ли это?

Кроме того, если действительно DC не работает в течение длительного периода времени, каковы будут последствия его последующего восстановления в сети и какую конфигурацию необходимо исправить?