Моя компания продает программные решения клиентам, и в рамках поставки мы также предоставляем оборудование и конфигурацию.
Несмотря на то, что на бумаге все оборудование и операционные системы принадлежат клиенту, мы выполняем все администрирование (клиентам предоставляется доступ к серверам только по их запросу, что мы не можем отрицать, поскольку они владеют им), но это довольно редко). Это осуществляется через обычное VPN-соединение с клиентом.
До сих пор мы оставили все в рабочей группе, но по мере роста компании становится все труднее управлять делами таким образом.
Внутри мы уже используем Active Directory (назовем этот лес internal.local
. Текущий план состоит в том, чтобы создать отдельный лес, который также будет жить в доме (назовем его customers.local
), а затем создать субдомен для каждого из наших клиентов, т. е. customerA.customers.local
, customerB.customers.local
и т. д. У каждого поддомена будет один DC непосредственно на сайте клиента.
Идея состоит в том, чтобы иметь одностороннее внешнее доверие между internal.local
и customers.local
, чтобы служба поддержки могла использовать свои учетные записи из internal.local
для подключения ко всем устройствам клиента.
Я вижу потенциальную проблему в том, что клиенты часто отключают некоторые серверы без какой-либо причины, и поскольку они принадлежат клиенту, мы не можем решить переключить их обратно на себя. Это означает, что нередко бывает ситуация, когда у клиента был отключен сервер на 6 месяцев или дольше.
Я знаю, что учетные данные кэшируются в течение определенного периода времени (настраиваемого) при аутентификации в домене, в котором находится компьютер, но я понимаю, что при аутентификации через доверие (или даже из дочернего в родительский домен?) Учетные данные не кэшируются. Это верно?
Если это так, то после того, как единственный DC клиента выйдет из строя, служба поддержки не сможет аутентифицироваться с использованием своих пользователей из internal.local
, даже если они подключились всего за 5 минут до этого.
Может кто-нибудь уточнить, так ли это?
Кроме того, если действительно DC не работает в течение длительного периода времени, каковы будут последствия его последующего восстановления в сети и какую конфигурацию необходимо исправить?