Local ideal para colocar o AD DS

Vou fazer algumas suposições gerais aqui com base no seu fraseado.

Isso realmente depende do seu uso. Você está apenas fazendo isso para autenticação? Em caso afirmativo, reconsidere sua implementação. Existem outras soluções para autenticação centralizada que não exigem licenciamento e têm pegadas menores (o OpenLDAP vem à mente).

Definitivamente, não é o nível da web se você quer dizer linha de frente por nível da web. Novamente, voltando ao uso, se por nível de banco de dados você realmente quiser usar o esquema do Active Directory para recuperação de informações, o OpenLDAP será muito mais eficiente, menos intensivo em recursos e realmente nesse ponto, por que não usar um banco de dados adequado? / p>

Os controladores de domínio são excelentes servidores de aplicativos, mas eu não os recomendaria para um aplicativo usado por um site muito grande. Você quer rodar o Sharepoint neles internamente? Continue. Você quer rodar seu site de produção que recebe 3.000 acessos por minuto? Não (a menos que você tenha o hardware, e mesmo assim você tem problemas de segurança para se preocupar).

Isso estará vinculado entre seus clientes da Intranet e clientes reais (pagantes)? Em caso afirmativo, por que você realmente precisa usar a autenticação compartilhada? Uma implementação adequada isola o mundo exterior de seus funcionários. Se você quiser criar um domínio autônomo para fins de "facilidade de administração", considere o que acontece com seu aplicativo quando o domínio fica inativo e não é possível autenticar no Active Directory. Você realmente quer explicar isso ao seu chefe?

Suponho que você esteja perguntando em qual servidor você deve executar seus serviços do Active Directory?

Idealmente, seria em seu próprio servidor (mesmo se for virtualizado), mas se você tiver que compartilhá-lo, eu o colocaria em qualquer servidor que não fosse acessado diretamente pelo público.

Então, o que isso significa é: não o servidor Web e não o servidor de aplicativos. O que deixa o servidor de banco de dados, mas também é um lugar ruim para colocá-lo, por causa do estresse que a maioria dos servidores de banco de dados estão sob.

Essa pergunta é impossível de responder, porque você está (em essência) misturando metáforas. O modelo de "camada" trata da distribuição de funções em um aplicativo e não tem relevância para a discussão sobre como arquitetar uma implementação do Active Directory (também conhecido como AD). Portanto, em seu cenário (hardware separado para o AD), a resposta real é NONE . O controlador de domínio AD separado não estará em nenhum dos "níveis".

AD é mais complicado do que parece. Há mais do que executar a instalação. O Active Directory requer pelo menos um "Controlador de Domínio" (também conhecido como "DC"), que é um servidor que executa os "serviços do Active Directory". É strongmente aconselhado que haja mais de um controlador de domínio em uma implementação do AD, para que a capacidade de login não seja perdida se o DC falhar. Outros servidores em um Active Directory são conhecidos como "servidores membros". Além disso, existem alguns serviços especiais (também conhecidos como " Funções FSMO ") que só podem ser ativados em um único DC por domínio ou localização. Também é strongmente aconselhado que o Exchange, o SQL Server ou qualquer aplicativo de alto tráfego não seja executado em um DC, por motivos de desempenho e redundância. Também é geralmente recomendado que um DC não seja exposto diretamente à Internet, porque há muitos serviços em execução e portas abertas em um DC. Além disso, o AD exige que seja o DNS primário do domínio.

Dito isto, se o AD só vai autenticar usuários para um aplicativo da web, não há nenhum problema real em ter um dos servidores existentes. Eu escolheria o servidor de camada "app", porque é melhor não tê-lo no servidor da web por motivos de segurança, e é melhor não tê-lo no servidor de banco de dados por motivos de desempenho.