Я собираюсь установить новый контроллер домена на недавно выросшем сайте филиала. Я знаю, что это лучший способ создать новый сайт в Active Directory Site and Service с относительной стоимостью IP-ссылки и соответствующими параметрами.
Тем не менее, и штаб-квартира, и этот филиал оснащены мощными подключениями к Интернету (оптоволокно 100 Мбит / с), и мне интересно, не лучше ли оставить их на одном сайте (то есть с очень небольшой задержкой репликации в соответствии с внутрисайтовой политикой).
На некоторых хорошо известных ресурсах я читал, что все, что> 10 Мбит / с, следует рассматривать как один сайт; однако другие советуют сопоставить каждый физический сайт с сайтом AD.
Каковы установленные передовые практики?
Учитывая, что между этими сайтами есть ISP, я бы создал сайт AD, посвященный этой новой ветке, по двум причинам:
Я только что завершил «полную облачную» миграцию для клиента, который хотел этого, независимо от стоимости. Это включало AD, который я перешел на FoxPass. Рассматриваемый клиент имеет 100-мегабайтные ссылки на всех трех сайтах, которые ранее выполнялись через один сервер AD на каждом из этих сайтов. В целом у компании около 75 активных пользователей.
Система FoxPass с RADIUS поверх RadSec и LDAPS связывает воедино системы идентификации всех своих облачных ресурсов, а также их рабочие станции и межсетевые экраны на уровне сайта. Даже не заметно, что этих вещей больше нет в локальной среде, а AD фактически изгнан. Обратной стороной является то, что это довольно дорого. Я не нашел дешевого предложения IDaaS, которое фактически предоставляет локальный эквивалент AD для широкомасштабного использования.
Однако изоляция служб идентификации на одном локально размещенном сайте может быть недостаточно надежной в зависимости от ваших требований. Я считаю, что, даже не прибегая к облачному решению с высокой степенью доступности, по крайней мере, один сервер AD на сайт - лучший вариант.