Весь наш лес Active Directory в настоящее время находится в одной частной подсети 10/8. Мы планируем перевести большинство наших серверов на облачного провайдера, но я не знаю, как настроить первый контроллер домена в новом облачном местоположении.
Я много читал о доверительных отношениях (внешние, ярлыки и области), а также о сайтах (ссылки сайтов, межсайтовая репликация и подсети), но я не могу сказать, что применимо к нашей ситуации. Конечная цель - иметь две отдельные частные подсети с синхронизированными данными пользователей и групп Active Directory между ними. Мы можем открыть любые необходимые порты, чтобы контроллеры домена могли общаться друг с другом по общедоступным IP-адресам.
Я прочитал большую часть (что кажется) соответствующей официальной документации, но мне трудно согласовать абстрактные концепции с тем, что необходимо сделать в моей ситуации. Какие шаги нужно предпринять, чтобы выполнить то, что я пытаюсь сделать?
Я думаю, вы просто ищете контроллер домена реплики, размещенный на виртуальной машине у «облачного провайдера». Не беспокойтесь о доверительных отношениях, нескольких доменах и т. Д. - все это к вам не относится.
Сайты, ссылки на сайты и подсети действительно применимы к вам. Я написал ответ о том, что делают «Сайты» в Active Directory, вероятно, стоит обратить внимание.
Когда вы упоминаете «открывающиеся порты» и публичные IP-адреса, вы меня начинаете беспокоить. Если вы не собираетесь использовать VPN между вами и «облачным провайдером», вам действительно нужно использовать IPSEC для защиты вашей связи. Это немного затруднит развертывание контроллера домена (DC). Развертывание контроллера домена через соединение IPSEC может быть выполнено с использованием функции AuthIP для присоединения машины, которая будет повышена до домена, чтобы он мог взаимодействовать с существующим контроллером домена с помощью IPSEC. (AuthIP очень плохо документирован Microsoft, что еще больше усложняет задачу.)
Вы действительно не хотите открыто общаться через Интернет между контроллерами домена, и не хотите, чтобы они были общедоступными для Джо Кому-нибудь в Интернете. (Вы также не хотите, чтобы ваши рядовые компьютеры общались с вашими контроллерами домена в открытом виде через Интернет.)
Основные шаги следующие:
Создайте объект сайта и подсети в Active Directory, соответствующий сайту и IP-подсети, в которой будет находиться новый DC.
Настройте машину для повышения до DC для получения службы DNS от DNS-сервера существующего DC.
Присоединитесь к машине, которая будет повышена до домена, используя AuthIP, если необходимо, для установления связи IPSEC с доменом во время процесса присоединения.
Продвигайте новый DC с помощью dcpromo (либо вызвав из графического интерфейса, либо просто запустив его)
Предполагая, что продвигаемый компьютер может разрешать имена в вашем домене Active Directory и имеет подключение к существующему DC на всех необходимых ему портах (что будет гарантировано, если вы просто разрешите им общаться через IPSEC), вы получите контроллер домена реплики. когда dcpromo процесс завершается.
То, о чем вы говорите, ни в коем случае не является обычным делом. Вам будет сложно найти людей, которые регулярно поддерживают такую инфраструктуру. (Возможно, со временем это станет более распространенным явлением, но сегодня это определенно не так.)