Active-Directory
Active Directory 多域環境
我為一家小型組織工作,該組織不久將在這裡開設另一個業務分支。我們有一個現有的活動目錄基礎結構,並且正在尋求將另一個域添加到林中。與此同時,我們正在將現有的基礎設施遷移到數據中心,因此額外伺服器的成本在這一切中扮演著重要的角色。
一直有人告訴我,在您的環境中部署冗餘域控制器是一種很好的做法。話雖如此,該組織正在最大限度地利用預算,並且很難在數據中心內為兩個域部署冗餘域控制器。是否可以在這種情況下部署某種冗餘,每個域中只有一個 DC?例如,假設我有 domain1.mycorp.com 和 domain2.mycorp.com 並且兩個域都只託管一個 DC。如果 domain2 DC 出現故障,是否仍然可以從 domain1 DC 對 domain2 的使用者進行身份驗證?如果這是可能的,我將如何去做?任何幫助或見解將不勝感激。
謝謝
鑑於我們環境的規模,我們將其保留在單個域中,並使用 OU 來隔離兩個業務分支。
您被告知擁有冗餘域控制器的原因主要是為了容錯。擁有冗餘域控制器還有許多其他好處,但能夠讓域控制器提供的服務始終保持正常執行對您前進非常重要。
關於來自單個域控制器的多域通告,這是無法做到的。
需要考慮的一些容錯點:
- 如果您在中午遇到域控制器問題並且出於某種原因需要重新啟動它或對其進行處理,那麼您的所有依賴於 Active Directory 域的服務很可能都不可用。因此,您的所有使用者都存在一定程度的中斷。範例問題:Exchange 和 SQL Server 具有尋找 AD 以供最終使用者訪問的服務帳戶……嗯……幾乎所有東西。沒有DC,沒有工作。
- 您的所有身份驗證(在您的場景中)都將通過您的 WAN 連結傳輸到數據中心,以便最終使用者進行身份驗證。您有多個與連接相關的故障點,當您的 ISP 出現連接問題時,如果沒有本地域控制器可能會帶來挑戰。
- 您的整個安全上下文都在活動目錄中公佈。您的所有使用者對象、組對象、電腦/伺服器對像等都儲存在您的 AD 中。與域中所有內容的安全屬性相關的所有內容。如果您失去了該域控制器並且由於某種原因無法恢復,那麼您正在重建您的域,將您的所有電腦重新加入一個新聞,重新創建使用者帳戶,它會繼續……你明白了。
恕我直言,讓一個域控制器為您的域做廣告是不值得冒險的。如果存在預算限制,那麼讓自己掌握“管理”技能,與領導團隊一起設定成本預期和優先事項,這對你的職業生涯將是無價的。