我们的整个Active Directory林目前在一个10/8私有子网上。 我们希望将大部分服务器迁移到云提供商,但我不确定如何在新的云位置设置第一个域控制器。
我已经读了很多关于信任(外部,快捷方式和领域)以及站点(站点链接,站点间复制和子网)的信息,但是我不太清楚哪些适用于我们的情况。 最终目标是让两个单独的私有子网在Active Directory用户和组数据之间同步。 我们可以打开任何需要的端口,以便域控制器可以通过公共IP地址相互通话。
我已经阅读了大部分(似乎是)相关的官方文档,但是我很难将抽象概念与我所需要完成的工作相协调。 我应该采取什么措施来完成我正在做的事情?
我想你只是在“云提供商”上寻找一个托pipe在虚拟机上的副本域控制器。 不要担心信任关系,多个域名等 – 这些都不适用于你。
网站,网站链接和子网确实适用于您。 我写了一个有关“网站”在Active Directory中做什么可能值得关注的答案 。
当你提到“开放端口”和公共IP地址,你开始担心我。 如果你不打算在你和“云提供商”之间build立VPN,那么你真的需要使用IPSEC来保证你的沟通。 这将使部署域控制器(DC)更加困难。 通过IPSEC连接部署域控制器可以使用AuthIPfunction将要升级的机器join到域中,以便可以通过IPSEC与现有的DC进行通信。 (AuthIP对微软的logging很差,所以更加困难。)
你真的不想在区议会之间的互联网上进行沟通,也不希望他们能够在互联网上的任何人都可以公开访问。 (您不希望您的会员计算机通过Internet以明文方式与您的数据中心进行通信)。
基本步骤如下:
在Active Directory中创build一个站点和子网对象,对应于新DC所在的站点和IP子网
将要升级的计算机configuration为DC以从现有DC的DNS服务器接收DNS服务
join要升级到域的计算机,必要时使用AuthIP在join过程中与域build立IPSEC通信
使用dcpromo推广新的DC(通过从GUI调用或仅运行它)
假设要升级的计算机可以parsingActive Directory域中的名称,并且可以连接到所需的所有端口上的现有DC(如果您只是让它们通过IPSEC进行通信,将会保证),您将获得一个副本域控制器当dcpromo进程完成时。
你所说的做的不是普通的手段。 你将很难find经常支持这种基础设施的人。 (也许这随着时间的推移会变得越来越普遍,但是现在肯定不是那么普遍。)