Adicionando um novo local através do Active Directory. Como isso deve ser feito?

Navegue suas respostas
4

Toda a nossa floresta do Active Directory está atualmente em uma única sub-rede privada 10/8. Estamos procurando migrar a maioria dos nossos servidores para um provedor de nuvem, mas não tenho certeza de como configurar o primeiro controlador de domínio no novo local da nuvem.

Eu li muito sobre relações de confiança (externas, atalhos e domínios), bem como sites (links de sites, replicação entre sites e sub-redes), mas não sei dizer qual se aplica à nossa situação. O objetivo final é ter duas sub-redes privadas separadas com dados de usuário e grupo do Active Directory sincronizados entre eles. Podemos abrir qualquer porta que seja necessária para que os controladores de domínio possam se comunicar através de endereços IP públicos.

Li muito de (o que parece ser) a documentação oficial relevante, mas estou tendo dificuldade em conciliar os conceitos abstratos com o que precisa ser feito na minha situação. Que medidas devem ser tomadas para realizar o que estou tentando fazer?

    
por Moduspwnens 04.02.2012 / 01:48

1 resposta

4

Acho que você está apenas procurando por um controlador de domínio de réplica hospedado em uma VM no "provedor de nuvem". Não se preocupe com relações de confiança, vários domínios, etc., nada disso se aplica a você.

Sites, links de sites e sub-redes se aplicam a você. Eu escrevi uma resposta sobre o que "Sites" faz no Active Directory que provavelmente vale a pena olhar.

Quando você menciona "abrir portas" e endereços IP públicos, você começa a me preocupar. Se você não tiver uma VPN entre você e o "provedor de nuvem", realmente precisará usar o IPSEC para proteger sua comunicação. Isso tornará a implantação de um controlador de domínio (DC) um pouco mais difícil. A implantação de um controlador de domínio em uma conexão IPSEC pode ser feita usando a funcionalidade AuthIP para ingressar na máquina a ser promovida para o domínio, de modo que possa se comunicar com o DC existente com o IPSEC. (O AuthIP é muito mal documentado pela Microsoft, o que torna as coisas ainda mais difíceis.)

Você realmente não quer se comunicar de forma clara pela Internet entre os DCs, nem deseja que eles sejam publicamente acessíveis a Joe Anybody na Internet. (Você também não quer que seus computadores membros se comuniquem com seus CDs em texto simples pela Internet.)

Os passos básicos são os seguintes:

  • Crie um objeto de site e sub-rede no Active Directory correspondente ao site e à sub-rede IP onde o novo DC residirá

  • Configure a máquina a ser promovida a um DC para receber o serviço DNS de um servidor DNS do DC existente

  • Entre na máquina a ser promovida para o domínio, usando o AuthIP, se necessário, para estabelecer comunicação IPSEC com o domínio durante o processo de associação

  • Promova o novo DC usando dcpromo (invocando a partir da GUI ou apenas executando-a)

Supondo que a máquina seja promovida pode resolver nomes em seu domínio do Active Directory e ter conectividade com o DC existente em todas as portas de que precisa (o que será garantido se você permitir que eles se comuniquem via IPSEC) obterá um controlador de domínio de réplica quando o processo dcpromo for concluído.

O que você está falando não é medíocre. Você vai ter dificuldade em encontrar pessoas que apoiam regularmente esse tipo de infraestrutura. (Talvez se torne mais comum com o passar do tempo, mas certamente não é comum hoje em dia.)

    
por 04.02.2012 / 04:41

Tags

Entrada Duplicada na lista de salas de previsão Mixando registros SPF