將 Amazon EC2 上的域控制器和 Active Directory 設置為主 AD
我計劃在 AWS 上為我的公司部署 Active Directory 和域控制器。它將主要用於這些:
- 使用者授權(登錄/註銷過程)
- 文件共享/管理(員工可以相互共享文件)
- 部署 GPO(執行一些 IT 策略,例如 USB 訪問等)。
除此之外,伺服器還將充當 Sharepoint 伺服器(這意味著它需要 SQL 和 IIS)。
我要問的是……
$$ Please see edit $$? 如果它是物理伺服器,我會做的是:
- 購買PC伺服器。
- 安裝 Windows Server(如果還沒有的話)。
- 配置 DHCP/DNS(和所有其他網路的東西)。
- 安裝和配置域控制器。
- 安裝和配置 Active Directory。
- 根據需要配置和實施 GPO。
我將通過物理機或遠端連接來完成上面提到的所有這些事情。
PS:是的,我知道失去對域控制器的訪問權限(即網路中斷)的含義。減輕這種情況的一種方法是我想在本地部署本地記憶體儲存。
編輯 我真的需要 AD/DC 來管理登錄、組織層次結構和策略 (GPO)。這似乎與大多數伺服器設置相反。我想使用基於雲的服務作為主域控制器,並且在未來,還提供本地身份驗證來管理列印/文件服務(如果可能的話)。
但我真的很想知道這是否可能?更重要的是,這是一個好習慣嗎?
我不介意使用 Amazon 或 Azure。
即使使用最新版本的 Windows,在異地託管 Active Directory (AD) 也是一種非常典型的配置。你不會找到很多推薦它的人。
從安全形度來看,AD 的設計並非採用直接暴露於 Internet 的威脅模型。如果您想防止 DC 直接暴露於 Internet,您將需要某種從客戶端到域控制器 (DC) 的安全隧道。這將使您的配置複雜化,並且可能會使加入域變得有些複雜。(多年來,我聽說過在客戶端和 DC 之間使用強制傳輸模式 IPSEC,但我實際上從未見過有人實施它。同樣,DirectAccess 也應該解決這個問題。)
與擁有現場域控制器相比,您將看到性能下降,特別是在組策略應用程序方面。在啟動和登錄期間客戶端和 DC 之間的互動並不需要太多頻寬,因為它由大量往返行程組成。延遲將成為殺手。異地託管可能永遠不會在 LAN 上延遲低於 1 毫秒。
如果您的客戶分佈在地理位置上,那麼如果您可以使其工作,那麼異地託管的 AD 可能是“勝利”。但是,如果您的客戶主要集中在中心,我願意打賭您在現場託管 AD 的長期費用會更少。開始異地託管並不能減輕對備份、額外的副本域控制器或系統管理的需求。
當然,如果您在組策略方面做任何重要的事情,考慮到性能將是現場託管的“勝利”,除非您與託管 DC 有某種超低延遲連接。