Я ищу запрос на предложение взять на себя управление инфраструктурой компании. Я не уверен в деталях (я готовлю им электронное письмо, чтобы прояснить некоторые вещи), но похоже, что они хотят отключить ВСЕ оборудование в их офисе. То, что у них запущено, относительно стандартно (AD, Exchange, SQL Server, SharePoint).
Мой вопрос вращается вокруг наличия удаленного контроллера AD. Я знаю, что есть множество ситуаций, когда у вас есть филиалы, которые используют контроллер AD домашнего офиса через VPN между сайтами. Просто кажется немного ... неуместным переместить этот ВЕСЬ стек на удаленный сайт (либо в наши офисы, либо, что более вероятно, в местный центр размещения). Очевидно, что должно быть какое-то устройство, которое как минимум будет выполнять DHCP, поскольку их текущий сервер AD выполняет все обязанности DHCP и DNS.
Эта конфигурация кажется другим законной?
Краткий ответ: это «может быть» ужасная идея, в зависимости от канала WAN (спасибо, ребята).
Более длинный ответ: вы будете отправлять (почти) весь аутентификационный трафик через VPN. Мало того, что это тонны ненужных накладных расходов, они могут быть совершенно неприемлемыми, если у них есть перемещаемые профили, размещенные на удаленном конце. Exchange и SharePoint могут использовать имена участников-служб для единого входа, поэтому трафик Kerberos для них является еще одним соображением.
Они не могут обойтись без какого-либо оборудования на месте, будь то массивный ящик VPN или ящик AD. Оба они представляют собой единую точку отказа, так почему бы не иметь действительно необходимый SPOF?
Вы могли бы разместить другой DC и их установку Exchange / Sharepoint. Я настоятельно рекомендую иметь на сайте хотя бы один DC с DNS и DHCP (вам, вероятно, не нужен DHCP). В зависимости от того, как они используют SQL Server, это может также существовать на стороне клиента.
Если бы у вас была надежная оконечная точка VPN, это можно было бы сделать, но гораздо лучшей альтернативой было бы сохранить хотя бы один локальный ящик и виртуализировать DC и DHCP-сервер локально в случае сбоя соединения.