Vou instalar um novo controlador de domínio em um site de filial recém-criado. Eu sei que é uma prática recomendada criar um novo site no Site e Serviço do Active Directory, com o custo relativo do link IP e os parâmetros relacionados.
No entanto, tanto o HQ como esta filial estão equipados com conexões de internet robustas (100 Mb / s Fiber) e eu me pergunto se é melhor deixar os dois em um único site (ou seja, desfrutando de latência de replicação muito pequena conforme intrasite política).
Em alguns recursos bem conhecidos, eu li que qualquer coisa > 10 Mb / s deve ser considerado como um site único; no entanto, outros conselhos para mapear cada site físico para um site da AD.
O que são as melhores práticas estabelecidas?
Considerando que você tem um ISP entre esses sites, eu criaria um site do AD dedicado a esse novo ramo por dois motivos:
Acabei de concluir uma migração de "nuvem completa" para um cliente que quisesse, independentemente do custo. Isso incluiu o AD, que migrei para o FoxPass. O cliente em questão tem links de 100 MB em todos os três sites, feitos anteriormente por meio de um único servidor do AD em cada um desses sites. A empresa como um todo tem cerca de 75 usuários ativos.
O sistema FoxPass com RADIUS sobre RadSec e LDAPS une os sistemas de identidade de todos os seus recursos de nuvem, bem como suas estações de trabalho e firewalls por site. Não é nem perceptível que essas coisas não são mais on-prem, e AD foi efetivamente banida. A desvantagem é que é muito caro. Eu não encontrei uma oferta IDaaS barata que realmente fornecesse um equivalente em AD no local para casos de uso de amplo escopo.
No entanto, isolar serviços de identidade em um único site hospedado localmente pode não ser robusto o suficiente, dependendo de seus requisitos. Sem ter que migrar para uma solução de nuvem HA, acho que usar pelo menos um servidor AD por site ainda é sua melhor aposta.