Um servidor de diretório ativo para um site geográfico?

Question

Um servidor de diretório ativo para um site geográfico?

#1 resposta do (1 votos)
#2 resposta do (0 votos)

3

temos um servidor de diretório ativo 2008 R2 em nosso site principal. Recentemente abrimos um pequeno site secundário. Minha pergunta é bastante simples: nossos dois sites estão conectados com uma VPN, é obrigatório para nós instalar um servidor AD secundário em nosso site secundário ou podemos usar nosso AD principal nos dois sites?

architecture active-directory best-practices

por Alex T. 18.10.2012 / 14:09

2 respostas

Tags architecture active-directory best-practices

Por que o 'host ether host host ip' não é uma expressão legal do tcpdump? O SQL Server Report Services não está configurando

score 1 · Answer 1

Em teoria, não, você não precisa ter DC nos dois sites.

Se você tiver um servidor DNS no site secundário (ou seus clientes estão apontando para o servidor DNS no site primário) com os registros srv do controlador de domínio no site primário e seus clientes puderem acessar os controladores de domínio, você não precisa de outro no local.

Mas a recomendação é que você o tenha, porque o serviço VPN pode ficar inativo e há uma questão de velocidade para os clientes no site secundário, especialmente se você não tiver um servidor DNS no site secundário. / p>

Quando um cliente do Active Directory (computador ou usuário) está tentando fazer logon no domínio ou em algum serviço de domínio, ele procura por controladores de domínio perguntando ao servidor DNS que ele listou em seu sistema (configurações da placa NIC) para endereços de controladores de domínio (são registros srv que não são registros regulares de host A), portanto, todos os seus clientes no site secundário precisam ter o servidor DNS configurado em suas placas NIC com esses registros, o que significa que se a VPN for desativada e seus clientes todos estão olhando para DNS no local principal, sua resolução de DNS vai cair para todos eles (eles não serão capazes de navegar na Internet e similares), então seria definitivamente recomendado que você tenha pelo menos um servidor DNS habilitado para Active Directory em o site secundário.

score 0 · Answer 2

Não é 100% necessário, e há maneiras de contornar isso. No entanto, é muito prático ter um. Isso ajudará a evitar problemas com DNS, autenticação, tempos de login (aplicação de políticas de grupo), serviço de tempo para suas estações de trabalho, entre outras coisas. Como você vai lidar com o DHCP para o site?

Se você estiver preocupado com a segurança do seu AD, poderá instalar um DC somente leitura.

Se o seu link VPN estiver inativo e você não tiver um servidor AD no local, você terá todos os tipos de problemas de autenticação, e os tempos de login aumentarão bastante. Você pode ter um servidor DNS local configurado como secundário para o DNS do AD (e registros de caches), mas isso só funciona em torno de um dos problemas.