Назад | Перейти на главную страницу

Новый контроллер домена в филиале: лучше создать новый сайт AD?

Я собираюсь установить новый контроллер домена на недавно выросшем сайте филиала. Я знаю, что это лучший способ создать новый сайт в Active Directory Site and Service с относительной стоимостью IP-ссылки и соответствующими параметрами.

Тем не менее, и штаб-квартира, и этот филиал оснащены мощными подключениями к Интернету (оптоволокно 100 Мбит / с), и мне интересно, не лучше ли оставить их на одном сайте (то есть с очень небольшой задержкой репликации в соответствии с внутрисайтовой политикой).

На некоторых хорошо известных ресурсах я читал, что все, что> 10 Мбит / с, следует рассматривать как один сайт; однако другие советуют сопоставить каждый физический сайт с сайтом AD.

Каковы установленные передовые практики?

Учитывая, что между этими сайтами есть ISP, я бы создал сайт AD, посвященный этой новой ветке, по двум причинам:

  1. Разделяйте аутентификацию пользователей по подсети. Если по какой-либо причине соединение между этими сайтами прервется, это не окажет такого влияния.
  2. Организация. Если ваша компания начинает быстро расти и ваша Active Directory отражает вашу физическую структуру, организация будет очень полезна, поверьте мне! Неорганизованная AD начнет затруднять обслуживание и устранение неполадок.

Я только что завершил «полную облачную» миграцию для клиента, который хотел этого, независимо от стоимости. Это включало AD, который я перешел на FoxPass. Рассматриваемый клиент имеет 100-мегабайтные ссылки на всех трех сайтах, которые ранее выполнялись через один сервер AD на каждом из этих сайтов. В целом у компании около 75 активных пользователей.

Система FoxPass с RADIUS поверх RadSec и LDAPS связывает воедино системы идентификации всех своих облачных ресурсов, а также их рабочие станции и межсетевые экраны на уровне сайта. Даже не заметно, что этих вещей больше нет в локальной среде, а AD фактически изгнан. Обратной стороной является то, что это довольно дорого. Я не нашел дешевого предложения IDaaS, которое фактически предоставляет локальный эквивалент AD для широкомасштабного использования.

Однако изоляция служб идентификации на одном локально размещенном сайте может быть недостаточно надежной в зависимости от ваших требований. Я считаю, что, даже не прибегая к облачному решению с высокой степенью доступности, по крайней мере, один сервер AD на сайт - лучший вариант.