我为一个小型组织工作,这个组织很快就会在这里开创另一个业务部门。 我们有一个现有的活动目录基础设施,并且正在寻找向森林添加另一个域。 与此同时,我们正在将现有的基础设施迁移到数据中心,因此增加服务器的成本在这方面起着巨大的作用。
我总是被告知,在您的环境中部署冗余域控制器是一种很好的做法。 有了这个说法,该组织正在最大限度地预算明智,这将是困难的在这两个域的数据中心部署冗余的域控制器。 在这种情况下是否可以部署某种冗余,每个域只有一个DC? 例如,假设我有domain1.mycorp.com和domain2.mycorp.com,两个域只托pipe一个DC。 如果domain2 DC发生故障,是否可以从domain1 DCvalidationdomain2的用户? 如果这是可能的,我将如何去做呢? 任何帮助或见解将不胜感激。
谢谢
您被告知具有冗余域控制器的原因主要是为了容错。 拥有冗余域控制器还有很多其他的好处,但是能够让域控制器提供的服务始终保持不变,对于您的前进而言可能非常重要。
关于来自单个域控制器的多域广告,这是无法完成的。
有些容错点需要考虑:
如果您在一天中的某个时间遇到域控制器问题,并且由于某种原因需要重新启动或处理该问题,则很可能您的所有依赖于Active Directory域的服务都不可用。 因此,您的所有用户都有一定程度的中断。 示例问题:Exchange和SQL服务器都有为最终用户访问寻找AD的服务帐户……几乎所有东西都是这样。 没有DC,没有工作。
您的所有身份validation(在您的scheme中)都将通过WAN链接传输到数据中心,以便最终用户进行身份validation。 您有多个与您的连接有关的故障点,而且当您的ISP出现连接问题时,本地的域控制器不会造成任何问题。
您的整个安全上下文在Active Directory中公布。 所有的用户对象,组对象,计算机/服务器对象等都存储在您的AD中。 一切都与域中所有内容的安全属性相关。 如果您失去了该域控制器,无论如何都无法恢复,您正在重build您的域名,重新将所有计算机重新join新闻,重新创build用户帐户,然后继续……您明白了。
恕我直言,这是不值得风险有一个域控制器广告您的域名。 如果存在预算限制,那么授权自己掌握“pipe理”技能,以便与您的领导团队一起设定成本预期和优先级,这对您的职业生涯是非常宝贵的。
考虑到我们的环境的规模,我们把它保留在一个单一的领域,并用OU来隔离两个业务部门。