Integração do Active Directory sobre VPN

2

Recentemente, comecei a trabalhar como administrador de rede para uma empresa que possui dois locais e usamos uma VPN para conectá-los. Precisamos configurar um Active Directory e o Exchange Server no segundo local para ser totalmente integrado ao primeiro. Eu já criei e testei um novo servidor com uma nova floresta / domínio. Minha pergunta é: qual é a melhor maneira de fazer isso? Tendo em mente que precisamos manter o tráfego da VPN no mínimo, precisamos que todas as ações do AD permaneçam no nível local, e somente se precisarmos acessar informações no outro domínio, precisamos passar pela VPN. Então, é melhor ir com uma única floresta ou duas florestas e estabelecer relações de confiança entre os domínios? Tenha em mente que também precisamos integrar totalmente os dois servidores Exchange uns com os outros e com ambos os domínios do AD.

    
por arazvan 09.02.2012 / 15:18

2 respostas

8

Eu acho que você está pensando muito nisso. Contanto que seja a mesma empresa em ambos os locais e você não tenha outro motivo para criar um segundo domínio na floresta, por que não instalar apenas um segundo DC, ligado ao mesmo domínio?

No AD, você pode criar sites e dentro de cada site, listar quais sub-redes estão presentes e também quais controladores de domínio estão em qual site. Dessa forma, os clientes em cada site tentarão entrar em contato com o DC em seu site primeiro e, se isso não estiver disponível, o failover será feito no outro site.

Além disso, você pode controlar facilmente o comportamento de replicação do AD. Se você só precisa dos dois CDs para sincronizar todas as noites, então você pode configurar isso. Dito isso, o tráfego de replicação é normalmente muito pequeno e provavelmente incluiria apenas uma pequena parte do tráfego da VPN.

    
por 09.02.2012 / 15:26
0

A menos que houvesse um segundo conjunto de administradores no segundo site, eu simplesmente definiria todo o sistema como um domínio e criaria um site para cada local. Atribua os computadores aos sites apropriados e toda a autenticação e o tráfego relacionado devem permanecer no site local, a menos que haja problemas com o DC no site local.

Com a troca, basta ter dois servidores diferentes, um para cada site, e atribuir usuários ao servidor em seu site.

    
por 09.02.2012 / 15:29