我们的主站点上有一个2008 R2的活动目录服务器。 最近我们开了一个小中学的网站。 我的问题非常简单:我们的2个站点与VPN连接,我们必须在我们的辅助站点上安装辅助AD服务器,还是可以在2个站点上使用我们的主AD?
理论上不,你不必在两个站点都有DC。
如果辅助站点上有DNS服务器(或者您的客户端指向主站点上的dns服务器),并且主站点上的域控制器有srvlogging,并且您的客户端都可以访问域控制器,则不需要需要另一个位置。
但build议您可以这样做,因为VPN服务可能会closures,而且辅助站点上的客户端速度有问题,特别是在辅助站点上没有DNS服务器的情况下。
当Active Directory客户端(计算机或用户)尝试login到域或某个域服务时,它会通过询问DNS服务器在其系统(NIC卡设置)上列出的域控制器地址来查找域控制器这些是不是常规主机Alogging的srvlogging),因此,辅助站点上的所有客户端都必须在其具有这些logging的NIC卡上设置DNS服务器,这意味着如果VPN发生故障并且客户端都在寻找在主要位置的DNS上,您的DNSparsing将会全部closures(他们将无法进行互联网浏览等),所以肯定会推荐您在辅助站点上至less有一个支持Active Directory的DNS服务器。
这不是100%必要的,有办法绕过它。 然而,有一个是非常实际的。 这将有助于避免DNS,身份validation,login时间(应用组策略),工作站的时间服务等问题。 你将如何处理该网站的DHCP?
如果您担心AD的安全性,则可以安装只读DC。
如果您的VPN连接断开,并且现场没有AD服务器,则会出现各种身份validation问题,login时间将大大增加。 你可以有一个本地的DNS服务器,作为你的AD DNS的辅助(和cachinglogging),但只能解决其中一个问题。