Интеграция Active Directory через VPN

Question

Интеграция Active Directory через VPN

Недавно я начал работать сетевым администратором в компании, которая имеет 2 местоположения, и мы используем VPN для их подключения. Нам нужно настроить Active Directory и Exchange Server во втором месте, чтобы полностью интегрировать его с первым. Я уже создал и протестировал новый сервер с новым лесом / доменом. Мой вопрос, что это лучший способ сделать это? Помня о том, что нам нужно свести VPN-трафик к минимуму, нам нужно, чтобы все действия AD оставались локальными, и только если нам нужен доступ к информации в другом домене, нам нужно пройти через VPN. Так лучше ли использовать один лес или два леса и устанавливать доверительные отношения между доменами? Имейте в виду, что нам также необходимо полностью интегрировать 2 сервера обмена друг с другом и с обоими доменами AD.

2

active-directory windows-server-2008 exchange ldap kerberos

Источник

arazvan 09 фев '12 в 14:18

2 ответа

Другие вопросы по тегам active-directory windows-server-2008 exchange ldap kerberos

EEAA 09 фев '12 в 14:26 2012-02-09 14:26 · Answer 1 · 2012-02-09 14:26

Я думаю, ты слишком много думаешь об этом. Если в обоих местах находится одна и та же компания, и у вас нет других причин для создания второго домена в лесу, почему бы просто не установить второй DC, привязанный к тому же домену?

В AD вы можете создавать сайты и на каждом сайте перечислять, какие подсети присутствуют, а также какие контроллеры домена находятся на каком сайте. Таким образом, клиенты на каждом сайте сначала автоматически попытаются связаться с DC на своем сайте, и если он недоступен, они переключатся на DC на другом сайте.

Кроме того, вы можете легко контролировать поведение репликации AD. Если вам нужны только два контроллера домена для ночной синхронизации, вы можете настроить это. Тем не менее, трафик репликации, как правило, очень мал и, вероятно, будет составлять лишь небольшую часть вашего VPN-трафика.

Glenn Sullivan 09 фев '12 в 14:29 2012-02-09 14:29 · Answer 2 · 2012-02-09 14:29

Если на втором сайте не было второго набора администраторов, я просто настроил бы всю систему как один домен и создал бы сайт для каждого местоположения. Назначьте компьютеры соответствующим сайтам, и весь аутентификационный и связанный трафик должен оставаться на локальном сайте, если только нет проблем с DC на локальном сайте.

При обмене просто создайте два разных сервера, по одному для каждого сайта, и назначьте пользователей этому серверу.