Quando adicionar um controlador de domínio em um local remoto?

Ao ler o post dos OPs, há apenas 1 linha de dados para este site remoto. Se sim, então a resposta para a minha pergunta abaixo é provavelmente negativa ...

Na minha (limitada) experiência, não é uma questão de desempenho, é uma questão de tempo de atividade.

Quanto trabalho esses usuários remotos poderiam fazer se o T1 estivesse inativo, e qual é a confiabilidade esperada e do pior caso desse T1? Um DC remoto poderia fornecer autenticação e DHCP / DNS para os usuários, de modo que um conjunto de aplicativos "strong" significativamente grande continuasse disponível , mesmo se o T1 estivesse inativo?

Se o site estiver morto na água assim que o T1 estiver inoperante, ou seja, os usuários remotos não conseguirem realmente nenhum trabalho significativo feito sem esse link de dados, então um DC remoto não faz sentido IMHO. O mesmo acontece se o site tiver muito trabalho significativo a ser feito, mas esse trabalho não exige nenhum sistema de TI. Mas se a CD permitir o uso de outros sistemas de TI, isso é valioso.

Se você configurar um DC remoto, pense em o Somente leitura do Windows 2008 Controladores de domínio e considere a possibilidade de mover outros serviços para mais perto dos usuários para desempenho.

Se não houver outros servidores nesse local, como você afirma (servidor de arquivos e servidor de e-mail são remotos para eles), então eu não me incomodaria em colocar um CD lá. Por que se preocupar em mantê-lo (mesmo que a manutenção seja mínima) ou ligá-lo / resfriá-lo, etc.? Realmente não há nenhum ponto de autenticá-los localmente se eles não estiverem acessando nenhum recurso do servidor (isso inclui os serviços de impressão, que você não mencionou, portanto, assumirei que eles se conectam via TCP / IP ou possuem impressoras conectadas localmente) .

Você também perguntou "quantos usuários normais seriam necessários antes de você ...":

Na minha opinião sobre isso, uma vez que você tenha mais de 10 usuários, eu recomendaria combinar algumas funções e colocar um controlador de domínio que também atue como servidor local de arquivos / impressão naquele local. Costumava ser um estigma sobre ter um DC executando serviços de arquivo / impressão, mas acho que funciona muito bem para 10 a 30 usuários.

Eu não me incomodaria com um CD, a menos que você tivesse um número significativo de usuários e uma equipe de TI no local. A autenticação de domínio pode ser bastante eficiente em links WAN, e a autenticação em cache do XP lidará com o restante.

A principal pegadinha seria se você tivesse uma caixa local do Exchange lá e não estivesse rodando no modo cache; As pesquisas de GAL podem ser bastante assustadoras em tais circunstâncias.

Eu recomendo implantar o AD quando você precisar se autenticar para usar serviços locais. Por exemplo. se os usuários no local acessarem os computadores uns dos outros, se tiverem um servidor local, etc.

O número de usuários é irrelevante. Você pode confiar em largura de banda suficiente sempre disponível quando necessário para o tráfego do AD? A conexão é confiável o suficiente para atender às suas necessidades? De sua descrição eu suspeito que a resposta para isso é sim, mas só você pode ter certeza. Independentemente disso, se fosse minha rede, eles teriam seu próprio DC (e servidor de arquivos, etc.). Eu fui vítima de alguém mais alto na árvore, decidindo que minha localização não precisava de um CD. Em longo prazo, acaba custando mais se a produtividade for afetada.

Executamos cem escritórios remotos nessa faixa sem DC's. O tráfego de autenticação é muito pequeno para justificar o custo (total) de uma máquina. Descobri que a abordagem "coattails" funciona a longo prazo; os usuários irão reclamar de navegação lenta / e-mail primeiro (não de tempo C + A + D), então a pressão por largura de banda, então o tráfego de anúncios será aproveitado e a viola não precisa de CD. As DCs remotas são dolorosas = custo para suportar e podem ser inseguras.