у нас есть сервер Active Directory 2008 R2 на нашем основном сайте. Недавно мы открыли небольшой вторичный сайт. Мой вопрос довольно прост: наши 2 сайта подключены к VPN, обязательно ли нам устанавливать вторичный сервер AD на нашем вторичном сайте или мы можем использовать наш основной AD на двух сайтах?
Теоретически нет, вам не обязательно иметь DC на обоих сайтах.
Если у вас есть DNS-сервер на вторичном сайте (или ваши клиенты указывают на DNS-сервер на первичном сайте) с записями srv для вашего контроллера домена на первичном сайте, и все ваши клиенты могут получить доступ к контроллерам домена, тогда у вас нет нужен еще один на месте.
Но рекомендуется, чтобы он был у вас, потому что служба VPN может выйти из строя, и есть вопрос скорости для клиентов на вторичном сайте, особенно если у вас нет DNS-сервера на вторичном сайте.
Когда клиент Active Directory (компьютер или пользователь) пытается войти в домен или какую-либо службу домена, он ищет контроллеры домена, запрашивая у DNS-сервера, который он указал в своей системе (настройки карты NIC) адреса контроллеров домена ( это записи srv, которые не являются обычными записями хоста A), поэтому все ваши клиенты на вторичном сайте должны иметь DNS-сервер, установленный на их сетевых картах, которые имеют эти записи, что означает, что если VPN выйдет из строя, и все ваши клиенты будут искать в DNS в первичном расположении ваше разрешение DNS снизится для всех из них (они не смогут просматривать Интернет и тому подобное), поэтому определенно будет рекомендовано, чтобы у вас был хотя бы DNS-сервер с поддержкой Active Directory на вторичном сайте .
Это не на 100% необходимо, и есть способы обойти это. Однако иметь его очень удобно. Это поможет избежать проблем с DNS, аутентификацией, временем входа в систему (применение групповых политик), службой времени для ваших рабочих станций, среди прочего. Как вы будете обрабатывать DHCP для сайта?
Если вас беспокоит безопасность вашего AD, вы можете установить DC только для чтения.
Если ваш канал VPN не работает и у вас нет сервера AD на сайте, у вас будут всевозможные проблемы с аутентификацией, и время входа в систему значительно увеличится. У вас может быть локальный DNS-сервер, который настроен как вторичный по отношению к вашему AD DNS (и кэширует записи), но это решает только одну из проблем.