Недавно я начал работать администратором сети в компании, у которой есть 2 офиса, и мы используем VPN для их подключения. Нам нужно настроить Active Directory и Exchange Server во втором месте, чтобы полностью интегрироваться с первым. Я уже создал и протестировал новый сервер с новым лесом / доменом. У меня вопрос, как лучше всего это сделать? Имея в виду, что нам нужно свести трафик VPN к минимуму, нам нужно, чтобы все действия AD оставались локальными, и только если нам нужен доступ к информации в другом домене, нам нужно пройти через VPN. Так что лучше использовать один или два леса и устанавливать доверительные отношения между доменами? Помните, что нам также необходимо полностью интегрировать 2 сервера обмена друг с другом и с обоими доменами AD.
Я думаю, ты слишком много об этом думаешь. Пока это одна и та же компания в обоих местах, и у вас нет других причин для создания второго домена в лесу, почему бы просто не установить второй DC, привязанный к тому же домену?
В AD вы можете создавать сайты и в каждом сайте перечислять, какие подсети присутствуют, а затем также, какие контроллеры домена находятся на каком сайте. Таким образом, клиенты на каждом сайте будут автоматически пытаться сначала связаться с DC на своем сайте, а если он недоступен, они переключатся на DC на другом сайте.
Кроме того, вы можете легко управлять репликацией AD. Если вам нужны только два DC для синхронизации по ночам, вы можете это настроить. Тем не менее, трафик репликации обычно очень мал и, вероятно, будет составлять лишь небольшую часть вашего трафика VPN.
Если бы на втором сайте не было второго набора администраторов, я бы просто настроил всю систему как один домен и создал сайт для каждого местоположения. Назначьте компьютеры правильным сайтам, и весь трафик проверки подлинности и связанный с ними трафик должен оставаться на локальном сайте, если нет проблем с контроллером домена на локальном сайте.
При обмене просто имейте два разных сервера, по одному для каждого сайта, и назначьте пользователей серверу на их сайте.