Многодоменная среда Active Directory
Я работаю в небольшой организации, которая вскоре начнет здесь другую отрасль. У нас есть активная инфраструктура каталогов, и мы хотим добавить еще один домен в лес. В то же время мы переносим нашу существующую инфраструктуру в центр обработки данных, поэтому стоимость дополнительных серверов играет огромную роль во всем этом.
Мне всегда говорили, что хорошей практикой является развертывание избыточных контроллеров домена в вашей среде. С учетом вышесказанного, организация максимально использует бюджет, и будет сложно развернуть избыточные контроллеры домена в центре обработки данных для обоих доменов. Можно ли в этом сценарии развернуть какую-то избыточность с одним DC в каждом домене? Например, допустим, у меня есть domain1.mycorp.com и domain2.mycorp.com, и оба домена содержат только один контроллер домена. Если DC домена 2 вышел из строя, будет ли все еще возможно аутентифицировать пользователей домена 2 с DC домена 1? Если это возможно, как бы я поступил так? Любая помощь или понимание будет принята с благодарностью.
Спасибо
2 ответа
Учитывая размер нашей среды, мы сохранили ее в одном домене и использовали подразделения для разделения двух отраслей бизнеса.
Причина, по которой вам говорят, что у вас есть резервные контроллеры домена, в первую очередь связана с отказоустойчивостью. Существует множество других преимуществ наличия избыточных контроллеров домена, но возможность поддерживать сервисы, предлагаемые контроллером домена, всегда могут быть очень важны для вашего продвижения вперед.
Что касается рекламы нескольких доменов с одного контроллера домена, это не может быть сделано.
Некоторые отказоустойчивые моменты для рассмотрения:
Если у вас возникают проблемы с контроллером домена в середине дня и вам по какой-то причине необходимо перезагрузить его или поработать над ним, есть большая вероятность, что все ваши службы, зависящие от домена Active Directory, будут недоступны. Поэтому все ваши пользователи имеют некоторый уровень простоя. Примеры проблем: Exchange и SQL-сервер имеют учетные записи служб, которые ищут AD для доступа конечного пользователя...... ну... почти все. Нет DC, нет работы.
Вся ваша аутентификация (в вашем сценарии) будет проходить по вашей глобальной сети с центром обработки данных, чтобы конечные пользователи могли проходить аутентификацию. У вас есть несколько точек отказа, связанных с вашим подключением, отсутствие локального контроллера домена может вызвать проблемы, когда у вас есть проблемы с подключением к вашему провайдеру.
Весь ваш контекст безопасности объявляется в активном каталоге. Все ваши пользовательские объекты, групповые объекты, объекты компьютера / сервера и т. Д. Хранятся в вашей AD. Все, что связано с атрибутами безопасности всего в домене. Если вы потеряете этот контроллер домена и по какой-либо причине не сможете его восстановить, вы перестраиваете свой домен, воссоединяете все свои компьютеры с новостным, воссоздаете учетные записи пользователей, он продолжается и продолжается... вы понимаете.
ИМХО, не стоит рисковать, когда один домен рекламирует ваш домен. Если у вас есть бюджетные ограничения, то предоставление вам навыков "управления" для определения ожидаемых затрат и приоритетов с вашей командой руководителей будет для вас бесценным в вашей карьере.