Я работаю в небольшой организации, которая в ближайшее время откроет здесь еще одно направление бизнеса. У нас есть существующая инфраструктура Active Directory, и мы хотим добавить в лес еще один домен. В то же время мы переносим существующую инфраструктуру в центр обработки данных, поэтому стоимость дополнительных серверов играет огромную роль во всем этом.
Мне всегда говорили, что это хорошая практика - развертывать избыточные контроллеры домена в вашей среде. С учетом сказанного, организация исчерпывает бюджет, и будет сложно развернуть избыточные контроллеры домена в центре обработки данных для обоих доменов. Можно ли в этом сценарии развернуть некоторую избыточность только с одним контроллером домена в каждом домене? Например, предположим, что у меня есть domain1.mycorp.com и domain2.mycorp.com, и оба домена обслуживают только один DC. Если DC domain2 выйдет из строя, будет ли все еще возможно аутентифицировать пользователей для domain2 с DC domain1? Если это возможно, как я могу это сделать? Любая помощь или понимание будут очень благодарны.
Спасибо
Причина, по которой вам говорят о наличии резервных контроллеров домена, в первую очередь связана с отказоустойчивостью. Наличие избыточных контроллеров домена дает множество других преимуществ, но возможность постоянно поддерживать сервисы, предлагаемые контроллером домена, может быть очень важной для вас в дальнейшем.
Что касается рекламы нескольких доменов от одного контроллера домена, это невозможно.
Некоторые отказоустойчивые моменты, которые следует учитывать:
Если у вас возникают проблемы с контроллером домена в середине дня и вам необходимо перезагрузить его или поработать над ним по какой-либо причине, есть большая вероятность, что все ваши службы, зависящие от домена Active Directory, недоступны. Таким образом, все ваши пользователи в той или иной степени отключены. Примеры проблем: Exchange и SQL-сервер имеют учетные записи служб, которые ищут AD для доступа конечных пользователей ... ну ... почти все. Нет постоянного тока, нет работы.
Вся ваша аутентификация (в вашем сценарии) будет проходить по вашему каналу WAN в центр обработки данных, чтобы конечные пользователи могли аутентифицироваться. У вас есть несколько точек отказа, связанных с вашим подключением, отсутствие локального контроллера домена может создать проблемы, когда у вас есть проблемы с подключением к вашему интернет-провайдеру.
Весь ваш контекст безопасности объявляется в активном каталоге. Все ваши объекты пользователей, объекты групп, объекты компьютеров / серверов и т. Д. Хранятся в вашем AD. Все, что связано с атрибутами безопасности всего в домене. Если вы потеряете этот контроллер домена и не можете восстановить по какой-либо причине, вы перестраиваете свой домен, повторно присоединяете все свои компьютеры к новостному, воссоздаете учетные записи пользователей, это продолжается и продолжается .... вы поняли.
ИМХО, не стоит рисковать иметь один контроллер домена, рекламирующий ваш домен. Если есть бюджетные ограничения, то приобретение навыков «управления» для определения ожидаемых затрат и приоритетов вместе с вашей командой руководителей будет неоценимо для вас в вашей карьере.
Учитывая размер нашей среды, мы сохранили ее в одном домене и использовали подразделения для разделения двух ветвей бизнеса.